BolhaSec News #6 - 07/07/2024 a 13/07/2024

Vazamento massivo na operadora AT&T: essa semana, a AT&T preencheu o famoso formulário Form 8-K avisando do vazamento dos registros de chamadas e mensagens de texto de alguns meses de 2022 e 2023 de quase todos os seus clientes. Vazou: i) os números de telefone dos clientes; ii) números de telefone que os clientes interagiram; iii) contagem de interações; iv) duração das interações. Apesar disso, segundo a empresa, NÃO vazaram o conteúdo das interações, nomes dos clientes, nem outras informações pessoais. Não foi publicado (ainda) como o vazamento aconteceu. +Info +Twitter.

DNS hijack em plataformas de crypto registradas no Squarespace: vulnerabilidade no Squarespace levou a uma onda de ataques de DNS hijack contra plataformas de crypto DeFi, redirecionando os visitantes para sites de phishing. Com o fim do Google Domains, a gerência dos domínios registrados na finada plataforma foi migrada para o Squarespace. Ainda não divulgaram detalhes de como o ataque se deu, porque ~security experts ~ ainda estão investigando (supostamente). Porém, uma forte teoria é que a causa foi a desabilitação do MFA das contas durante a migração 🌚. Em outras palavras, o usuário que tinha MFA cadastrado no Google Domains ficou sem MFA quando o Squarespace importou as contas 🤷‍♂️. +Info

Apple alerta usuários de iPhone em 98 países sobre ataques de spyware: essa é a segunda vez que a Apple envia esse tipo de alertas (a primeira vez foi em Abril). O aviso é +/- assim Apple detected that you are being targeted by a mercenary spyware attack that is trying to remotely compromise the iPhone associated with your Apple ID -xxx- . Apesar disso, por mais estranho que apareça, a Apple não revelou quem são os atacantes ou quais países específicos estão recebendo essas notificações 🤷‍♂️. Só o que se sabe é que usuários da India confirmaram ter recebido o aviso 🤔. +Info

Notícias que quase entraram nessa edição ⬇️

• Análise do Santander Security Research sobre a vulnerabilidade CVE-2024-6387 do OpenSSH +Link

• CVE-2024-29510 de execução remota de código no Ghostscript sendo explorada a rodo +Link