Momento Tecnologia

Temas personalizados no Windows podem roubar seus dados; saiba se proteger

Publicados

em


source

Olhar Digital

Windows
Unsplash/Tadas Sar

Windows 10 tem falha que permite invasões

O pesquisador de segurança Jimmy Bayne descobriu recentemente falhas que permitem ataques por meio de arquivos e pacotes .theme no Windows 10 . Os criminosos criam os temas inserindo ferramentas para roubar dados  e credenciais das contas dos usuários. As informações foram divulgadas pelo site Bleeping Computer.

Segundo Bayne, os invasores desenvolveram um arquivo simulando um tema que pode alterar o papel de parede da área de trabalho. Ao ser ativado, o arquivo inicia um prompt que executa o recurso solicitado via autenticação remota, enviando o hash NTLM e o nome de login para a conta conectada.

Dessa forma, os invasores poderão acessar as credenciais e remover a senha usando scripts especiais em arquivos de texto não criptografados. A prática é conhecida como Pass-the-Hash, quando ocorre o roubo de identidade de uma máquina, sendo posteriormente acessada em outra máquina.

Leia Também:  Cansou da Netflix? Novo streaming mostra o cotidiano de ursinhos órfãos

Para oferecer um sistema operacional com acesso rápido às informações do usuário, a Microsoft permite realizar o login no Windows 10 com uma conta da empresa, em vez de uma conta local no sistema. Ao mesmo tempo que simplifica o acesso do usuário às informações, o método facilita o acesso de invasores aos dados sensíveis dos usuários conectados aos serviços remotos oferecidos pela Microsoft.

Como se proteger

Jimmy Bayne aponta que, para se proteger, é recomendado bloquear ou reassociar as extensões .theme, .themepack e .desktopthemepackfile a um programa diferente. Dessa forma haverá a interrupção do recurso Temas do Windows 10 . É aconselhável fazer a alteração quando somente não precisar mudar o tema.

Adicionalmente, Bayne aconselha implementar o uso de autenticação multi-fator conhecida como verificação em duas etapas, para evitar o acesso remoto por invasores.

Propaganda

Momento Tecnologia

LGPD: primeiro processo com base na nova lei tem sentença proferida

Publicados

em


source

Olhar Digital

LGPD
Marcello Casal Jr/Agência Brasil

Lei Geral de Proteção de Dados começou a valer na última semana

A primeira Ação Civil Pública com base na Lei Geral de Proteção de Dados (LGPD) , que entrou em vigor no último dia 18 , teve sua sentença proferida na terça-feira (22), pelo juiz Wagner Pessoa Vieira, da 5.ª Vara Cível de Brasília. Trata-se do caso do site “Lembrete Digital”, que comercializava milhões de dados de brasileiros. A nova norma exige o tratamento adequado de informações neste sentido.

Na decisão, o juiz de direito afirmou que a “presente ação não merece prosperar”. O despacho foi motivado, ainda de segundo o magistrado, pela retirada do site do ar, pois constatou que o domínio lojainfortexto.com.br está “em manutenção”.

“Esse fato [de o site estar em manutenção], provavelmente, decorre da circunstância de que, com o recente início de vigência da Lei 13.709/18, ocorrido em 18/09/2020 (sexta-feira passada), os responsáveis pelo sobredito sítio devem estar buscando adequar os seus serviços às normas jurídicas de proteção de dados pessoais”, afirma o juiz Wagner Vieira na sentença.

Leia Também:  Samsung anuncia Galaxy S20 FE com características escolhidas pelos usuários

O documento ainda esclarece que o magistrado entendeu que, neste momento, não há “interesse processual do autor para agir através desta ação civil pública”. Isto porque o site estar em manutenção evidencia que não há risco de lesão ou ameaça a ser justificada. “A pretensão de tutela inibitória deduzida na inicial, com o que a presente ação se torna inútil”, explica a sentença.

Sobre a decisão, ainda cabe lembrar que o juiz de direito não julgou mérito. Isso significa que ele encerrou o processo em virtude do fato que impossibilita ações mais abrangentes.

De qualquer forma, o caso ainda pode ser investigado novamente pelo Ministério Público do Distrito Federal e Territórios (MPDFT) se a página voltar ao ar ou mudar de nome. Outro caminho para que o MPDFT recorra à sentença é justificar ser possível saber os nomes dos envolvidos, mesmo com o site fora da web.

Entenda o caso

A ação foi apresentada pelo MPDFT no último dia 21 com alegações de que o site intitulado “Lembrete Digital” estaria promovendo a comercialização indiscriminada, e fora dos novos padrões da LGPD , de dados de milhões de brasileiros.

Leia Também:  LGPD: primeiro processo com base na nova lei tem sentença proferida

Apenas de residentes naturais de São Paulo, foram contabilizados mais de 500 mil pessoas atingidas. Os dados englobavam não só nome e telefone, por exemplo, mas e-mails, endereços postais, cidades, estados, etc.

Com a entrada da LGPD , o MP apresentou a ação acusando o site de violação à privacidade , intimidade, imagem, entre outros direitos assegurados pela Constituição Federal. A norma recepcionada prevê o tratamento correto e autorizado de dados pessoais , sendo necessária a autorização do titular da informação para o uso do material.

Continue lendo

MOMENTO POLICIAL

MOMENTO DESTAQUE

MOMENTO MULHER

MOMENTO PET

MAIS LIDAS DA SEMANA