Especial: 10 maiores hacks, vazamentos e bugs de cibersegurança de 2016

PC World / EUA
26 de dezembro de 2016 - 09h00
Vazamentos do Yahoo, crescimento de ransomware, hack das eleições e disputa entre Apple e FBI foram alguns dos principais casos do ano que está terminando.

O ano que está chegando ao fim foi cheio de notícias negativas no universo de cibersegurança.

O Yahoo revelou dois hacks gigantescos, incluindo o maior vazamento da história. Milhões de DVRs e webcams “zumbificadas” derrubaram a Internet nos EUA. A Rússia foi acusada de tentar influenciar as eleições dos EUA por meio de hacks, e um novo tipo de malware conseguiu ganhar muito dinheiro roubando usuários de Bitcoin.

Yahoo em apuros

Em setembro, o Yahoo chocou o mundo ao revelar que pelo menos 500 milhões de contas dos seus usuários foram invadidas em 2014. Na época, acreditava-se que esse era o maior vazamento de dados pessoais da história da Internet. Mas o Yahoo conseguiu superar o próprio recorde negativo ao revelar em dezembro que um outro hack, ocorrido lá em 2013, vazou os dados de 1 bilhão dos seus usuários.

Ransomware em alta

A ameaça online que definiu 2016 mais do que qualquer outra tem de ser o chamado ransomware. Esse malware criptografa seus arquivos e os toma como reféns, exigindo um pagamento do usuário para liberar os arquivos de volta. Muitas e muitas variações de ransomware tomaram as manchetes em 2016, incluindo ameaças como Locky, DMA Locker, Surprise e uma versão amadora (mas eficaz) chamada Ranscam, que rouba seu dinheiro e ainda assim apaga seus arquivos. Houve até ransomware mobile, e em julho os pesquisadores de segurança descobriram uma versão do Locky que conseguia operar offline para ser ainda mais efetiva. Um estudo publicado em agosto pela Malwarebytes apontava que o ransomware era tão comum que estava atingindo quase metade de todas as empresas dos EUA.

DDoS contra Dyn

Em outubro, uma botnet impulsionou um grande ataque de negação de serviço (DDoS) contra o Dyn, um importante provedor de sistema nomes de domínio (DNS). O DNS é o sistema de direcionamento que transforma um nome de um site como google.com em um endereço de IP (Protocolo de Internet) como 172.217.21.110 para os computadores lerem. Sem DNS, um navegador web não consegue encontrar o site que você quer acessar - e foi exatamente isso que aconteceu com milhões de usuários dos EUA durante esse ataque DDoS. O acesso a sites como Twitter, GitHub e Netflix ficou indo e voltando durante o dia. Alguns dias depois ficamos sabendo que a botnet que causou todo esse problema consistia em 100 mil aparelhos residenciais (como webcams e DVRs) que tinham sido infectados pelo malware Mirai. Sim, um exército de aparelhos inteligentes “burros e inseguros” atacaram a web.

Apple para de liberar patches para o QuickTime

O QuickTime costumava ser um dos softwares mais onipresentes em um computador. Era algo vital para assistir muitos vídeos antigos, especialmente no iTunes. Com o tempo, no entanto, o QuickTime tornou-se menos e menos importante, e agora é quase desnecessários. Há alguns meses, após serem descobertas duas vulnerabilidades críticas para o software, a Apple aparentemente decidiu “jogar contra” o QuickTime para Windows em vez de corrigir os problemas. Em outras palavras, se você ainda está rodando o QuickTime no Windows já passou da hora de desinstalá-lo.

Cartões de crédito

As medidas de segurança do seu cartão de crédito não são tão seguras quanto você pensa. Pesquisadores de Universidade de Newcastle, no Reino Unido, demonstraram que descobrir a data de expiração e o código CVV de um cartão pode ser algo relativamente simples. Os especialistas mostraram uma maneira de descobrir esses números usando uma técnica chamada “distributed guessing”. Basicamente, um laptop carrega centenas de conjeturas simultaneamente em vários sites de pagamento, usando detalhes de expiração e código CVV do cartão levemente diferentes. Em cerca de seis segundos, você vai encontrar a sequência numérica correta para desbloquear os códigos secretos de um cartão, segundo os pesquisadores. A fraqueza é uma falha em limitar corretamente o número de tentativas de preencher os detalhes de pagamento, e os sistemas de cartão de crédito que não monitoram ativamente em busca de tentativas simultâneas incorretas de inserção de dados de cartão de crédito.

Hack contra o Partido Democrata

Neste ano, os ataques hackers “subiram na vida”, passando de apenas prejudicar empresas e agências do governo para intervir de maneira direta na eleição presidencial dos EUA. O primeiro exemplo disso foi um vazamento da rede de computadores do Comitê Nacional Democrata (DNC). Em julho, o site Wikileaks publicou um grande número de documentos, que incluíam cerca de 20 mil e-mails e milhares de arquivos anexos de membros do comitê.

Muitos escândalos estouraram depois disso, incluindo implicações de que o Comitê Democrata teria trabalhado contra a campanha do também democrata Bernie Sanders para favorecer a nomeação de Hillary Clinton como a candidata democrata contra Donald Trump. A diretora do comitê, Debbie Wasserman Schultz, acabou tendo de abandonar o cargo por conta das revelações. Um hacker denominado Guccifer 2.0 assumiu a autoria do roubo de dados, mas as agências dos EUA acreditaram que o trabalho tinha sido feito por setores do governo russo.

Rússia e eleições dos EUA

Em setembro, autoridades dos EUA começaram a investigar a possibilidade de a Rússia ter tentado influenciar a eleição presidencial norte-americana. Mais para o final do ano, a CIA, o FBI e outras agências de inteligência dos EUA concluíram com “grande confiança” que a Rússia tentou influenciar de maneira direta as eleições dos EUA com a intenção de beneficiar o vencedor Donald Trump.

Apple x FBI

Em dezembro de 2015, extremistas islâmicos realizaram um ataque terrorista em San Bernardino, na Califórnia, matando 14 pessoas e ferindo seriamente outras 22. Os criminosos depois foram mortos pela polícia em uma troca de tiros.

Em 2016, um iPhone que pertencia a um dos terroristas dominou as manchetes porque o FBI queria que a Apple criasse um software especial para permitir que seus investigadores invadissem o smartphone, que estava bloqueado. A Apple se negou a fazer isso, argumentando que o que o FBI realmente queria que a empresa fizesse era criar um “malware customizado” para burlar os recursos de segurança da própria companhia.

O FBI eventualmente retirou o pedido depois que uma empresa de segurança conseguiu ajudar o órgão a acessar os dados no aparelho. O legado do caso continua vivo à medida que legisladores consideram qual tipo de ajuda as empresas de tecnologia devem fornecer às autoridades.

NSA hackeada

Em agosto, um grupo hacker anônimo chamado Shadow Brokers afirmou que tinha obtido as ferramentas de hacking da Equation Group, uma equipe de ciberespionagem relacionada à Agência Nacional de Segurança dos EUA, a NSA. Durante a invasão, os hackers conseguiram colocar as mãos em exploits sofisticadas que teriam sido usadas pela NSA. Após revelar uma pequena parte desse tesouro, o Shadow Brokers tentou vender as ferramentas na Internet, mas até outubro tinha conseguido gerar pouco interesse com tal oferta.