Um funcionário da Apple disse ao Business Insider que os hackers ofereceram aos funcionários da Apple até € 20.000 (£ 16.000) por suas senhas.
O conhecimento da senha dos funcionários é responsável, intencionalmente ou não, por 95% das violações.
A solução? Criptografe seu acesso para que os funcionários não saibam suas senhas. Isso impede 95% das violações
"BT anunciou na quarta-feira que registrou 46 milhões de sinais de possíveis ataques cibernéticos todos os dias e mais de 530 sinais detectados a cada segundo."
“A BT disse que os setores mais visados nos últimos 12 meses são TI, defesa, bancos e seguros – com 19,7% dos avistamentos de malware sendo direcionados a esses alvos de alto risco.”
“Os setores de varejo, hotelaria e educação também correm alto risco, sendo responsáveis por 14,9% dos avistamentos de malware nos últimos 12 meses”
"pequenas empresas, start-ups e instituições de caridade também estão na linha de fogo; aproximadamente 785.000 crimes cibernéticos foram encontrados em instituições de caridade do Reino Unido nos últimos 12 meses"
“a cada 30 segundos, os cibercriminosos examinam qualquer dispositivo conectado à Internet em busca de pontos fracos, usando automação e aprendizado de máquina para identificar vulnerabilidades nas defesas comerciais – o equivalente digital de um ladrão em busca de uma janela aberta.”
Em uma entrevista recente ao SafetyDetectives , Julia O'Toole, CEO da MyCena Security Solutions, discutiu sua jornada e a motivação por trás de sua abordagem inovadora à segurança de senhas. A luta pessoal de O'Toole com o gerenciamento de senhas a levou a desenvolver uma tecnologia inovadora inspirada em antigas práticas de segurança. MyCena oferece soluções SEAM, que permitem às empresas gerenciar senhas criptografadas como chaves, eliminando a necessidade de os funcionários saberem quaisquer senhas. O'Toole também abordou tendências alarmantes de segurança cibernética, os impactos ocultos das violações e como a filosofia “Confiança Zero” se alinha com o futuro da segurança de senhas. Ela enfatizou a importância da adaptação aos desafios do trabalho remoto por meio de medidas de segurança avançadas como as oferecidas pelo MyCena.
Durante décadas tive pesadelos com senhas e consegui encontrar uma maneira de resolver meu problema. As soluções existentes no mercado, como livros de senhas ou gerenciadores de senhas, eram todas inseguras, porque todas apresentavam pontos únicos de falha. Se você perder seu livro ou sua senha mestra, você perderá todas as chaves da sua vida digital. Após anos de pesquisa em matemática, neurociência e tecnologia, foi uma viagem no tempo que desencadeou a solução.
Eu estava vagando entre as ruínas da antiga cidade grega de Micenas, com 3.000 anos de idade, quando observei como os antigos micênicos usaram a arquitetura da cidade para proteger seus bens. Tendo construído muralhas concêntricas à volta da cidade, era necessário passar por uma primeira porta, chamada Porta dos Leões para entrar na cidade, depois por uma segunda para aceder à guarnição, depois por uma terceira para aceder ao palácio do rei. Lá tive uma epifania: “Uma senha é apenas uma chave. Ninguém corta as chaves para chegar em casa. Pegamos a chave certa para abrir a porta certa. Da mesma forma, ninguém precisa saber nenhuma senha, basta usar a senha correta para cada conta.”
Inspirados na segurança da antiga cidade de Micenas, idealizamos o Método de Acesso a Dados Armazenados Estruturados e desenvolvemos uma tecnologia de última geração que facilita o gerenciamento de chaves criptografadas. Ele permite que as empresas gerem e distribuam facilmente senhas criptografadas altamente seguras para cada sistema em tempo real para os funcionários, que então as utilizam como chaves. Conseqüentemente, os funcionários nunca sabem nenhuma senha e ainda assim podem abrir todas as portas digitais.
MyCena fornece soluções SEAM (Segmented Encrypted Access Management). A partir de um console e sem alteração de infraestrutura, as empresas podem gerenciar e distribuir senhas criptografadas de cada sistema aos usuários, que as utilizam como chaves. As empresas também podem monitorar quem acessou o quê e quando em tempo real no console.
A tendência mais alarmante é que os funcionários conheçam as senhas da empresa. É responsável por 95% das violações. Hoje, a maioria das organizações permite que seus funcionários criem suas próprias senhas para acessar seus sistemas e dados. É como permitir que seus funcionários tragam suas próprias chaves para acessar o escritório ou as fábricas. Como as senhas podem ser compartilhadas, roubadas, vendidas, reutilizadas e projetadas socialmente, isso é 10/10 no sistema de pontuação CVSS. Basta que um criminoso faça login usando uma senha ou identidade comprometida e todos os investimentos em segurança cibernética se tornarão inúteis. Isso explica por que milhares de milhões de dólares são gastos em segurança cibernética, mas as empresas continuam a ser prejudicadas.
Outra tendência muito alarmante é a utilização da identidade das pessoas para acesso. Identidades são únicas. O rosto, a voz e a impressão digital de cada pessoa não podem ser alterados. A biometria são apenas dados, que são uma série de zeros e uns. Isso significa que se for roubado, o dano será irreversível e a pessoa estará digitalmente morta, e sua identidade poderá ser usada indefinidamente para cometer fraudes sem que ela saiba. A biometria também não é informação secreta, pois vozes e rostos podem ser recuperados de fotos, vídeos e gravações e, graças à IA, facilmente reutilizados para fazer falsificações profundas.
Outra tendência alarmante é o treinamento com senhas. Não importa o quão treinado você seja, se você criar e souber a senha, os criminosos podem roubá-la de você e usá-la para fazer login. Como o 2FA é tão fácil de roubar, a combinação de treinamento de senha e 2FA oferece uma proteção muito fraca e cria uma falsa sensação de segurança. Para evitar tais riscos, os funcionários não devem criar acesso à sua empresa ou conhecê-la.
Uma violação de segurança relacionada a uma senha é semelhante a alguém roubar a chave de um site. Se o criminoso encontrar um acesso privilegiado que dê comando e controle de parte de toda a rede, isso pode levar à interrupção dos negócios, ransomware, perda de dados, roubo de identidade, espionagem, ações judiciais, ações coletivas, custos de reparo e recuperação, perda de reputação e até falência.
Para além dos custos operacionais, o impacto no futuro, por vezes anos após a violação, pode ser a instauração de processos judiciais contra diretores e responsáveis, o que pode resultar em multas pesadas e prisão.
Uma vez na rede, os criminosos também podem deixar backdoors para que possam voltar para outra rodada mais tarde.
“Confiança Zero” é uma palavra da moda, mas a filosofia de não confiar nas pessoas, porque as pessoas cometem erros, é uma boa ideia. Erros são exatamente o que o gerenciamento de acesso criptografado segmentado evita. Ao garantir que as pessoas não conheçam as senhas da sua organização, elas não poderão mais cometer erros. Este é o futuro da segurança de senhas.
Com o aumento do trabalho remoto, a superfície de ataque dos criminosos aumentou e eles podem atingir mais facilmente pessoas em suas próprias casas. Como as pessoas costumam usar senhas iguais ou semelhantes para contas pessoais e de trabalho, uma senha de phishing ou de engenharia social de qualquer conta pessoal ou profissional pode ser usada para acessar a rede da empresa e vice-versa.
As empresas podem se adaptar muito rapidamente, garantindo que seus funcionários nunca criem ou conheçam suas senhas. Como não há necessidade de mudança de infraestrutura, as soluções MyCena SEAM (Segmented Encrypted Access Management) podem ser implementadas para todos os seus acessos (RDP, SSH, aplicações web, aplicações locais, IAM, PAM, SSO, sistemas legados…). Isso põe fim ao phishing de senhas, à reutilização, ao compartilhamento, à gravação, aos ataques de navegador no navegador ou MiTM e impede 95% das violações antes que elas aconteçam.
As empresas também podem usar os recursos de restrição de IP e de dispositivo no MyCena para garantir que os funcionários só possam acessar os aplicativos e dados da empresa em determinados locais usando apenas dispositivos autorizados e evitar que salvem senhas da empresa em seus navegadores.
Os ladrões de senhas estão sendo implantados em grande escala: “Após a execução, o malware de roubo de senhas coleta senhas e cookies de todos os navegadores da vítima e os envia ao invasor por meio de APIs Telegram/Discord”.
Tudo isso pode ser interrompido com as soluções MyCena SEAM: as empresas criptografam todos os acessos para que os usuários nunca saibam suas senhas, para que não possam ser roubadas. É uma maneira fácil, rápida e eficiente de impedir violações em sua empresa.
A Airbus confirmou uma violação de dados que expôs informações comerciais confidenciais por meio da conta comprometida de uma companhia aérea parceira.
A empresa de inteligência de ameaças Hudson Rock disse que o agente de ameaças 'USDoD' comprometeu uma conta de funcionário da Turkish Airlines usando o malware ladrão de informações Redline em agosto de 2023. O malware tem como alvo senhas salvas e cookies de sessão, permitindo que os agentes de ameaças contornem a autenticação multifator.
Hudson Rock sugeriu que o funcionário da companhia aérea turca infectou seu computador após baixar uma “versão pirata do Microsoft .NET framework”.
O ator da ameaça anunciou a violação de dados com tema de avião no 22º aniversário dos ataques terroristas de 11 de setembro e ameaçou “Lockheed Martin, Raytheon e toda a indústria de defesa”.
O hacker que também foi responsável por um vazamento de dados do FBI expôs os dados roubados no fórum de hackers em inglês BreachForums logo após ingressar no grupo de ransomware ‘Ransomed’.
O Lapsus$ expôs a maior lacuna de segurança das organizações: o processo de acesso onde os funcionários criam suas senhas para acessar seus sistemas. Imagine se os funcionários usassem suas próprias chaves para entrar no seu escritório ou fábrica.
Para fechar essa lacuna de segurança, use o Gerenciamento de Acesso Criptografado:
- A empresa gera e distribui aos funcionários senhas criptografadas altamente seguras para cada sistema, para serem usadas como chaves.
- Integração com aplicações web, aplicações locais, RDP, SSH, WDE, terminais… já incorporados no processo MyCena.
- Os funcionários não sabem as senhas, portanto, nada de phishing, fraude ou erro de senha, eliminando 95% das violações.
“De acordo com o relatório, o grupo de hackers empregou técnicas simples, mas eficazes, como phishing de funcionários e roubo de números de telefone para obter acesso.
O sucesso destas técnicas expôs “pontos fracos na nossa infra-estrutura cibernética” que poderiam ser explorados para ataques futuros, afirma o relatório.”