Características das vulnerabilidades abrem portas para um ataque de propagação semelhante ao WannaCry a elevadores, automóveis, robôs industriais, radares, entre muitos outros equipamentos. Já foram disponibilizadas correções de segurança.

Há 200 milhões de equipamentos vulneráveis, incluindo routers, impressoras, dispositivos médicos, automóveis, radares e robôs industriais, e que no pior dos cenários podem ser alvo de um ataque informático remoto. A revelação foi feita por uma empresa de segurança especializada em Internet das Coisas (IoT). Na Wikipédia, é possível confirmar que o sistema operativo da produzido pela empresa WindRiver é usado em vários dispositivos de uso quotidiano.

Ao todo foram descobertas onze falhas no sistema operativo VxWorks, que é usado para equipamentos de funcionamento constante – como um controlador de um elevador. Das falhas elencadas, que foram apelidadas de Urgent/11, seis são consideradas críticas e permitem executar ataques à distância contra os dispositivos.

As outras cinco falhas não são tão graves, mas ainda assim permitem ataques de negação de serviço, extração de dados ou a exploração de falhas lógicas. As vulnerabilidades afetam todas as versões do VxWorks a partir da versão 6.5, que foi lançada em 2006. As exceções são a mais recente versão do sistema operativo (reconhecida pelo número 7) e as versões VxWorks 653 e Cert Edition.

As vulnerabilidades em questão estão relacionadas com o módulo IPNet do sistema operativo, que na prática gere a capacidade dos dispositivos de se ligarem à internet e de comunicarem com outros equipamentos numa rede local.

Em dois exemplos, um atacante que explore as vulnerabilidades pode manipular os robôs de produção de uma empresa e parar por completo a linha de produção ou, no caso de um hospital, aceder e manipular os dados vitais de um paciente, assim como criar falsos alarmes médicos.

Devido às características das falhas, os ataques têm um «potencial severo» e que fazem lembrar a falha EternalBlue, responsável pela disseminação do ransomware WannaCry, que paralisou várias empresas em 2017.

Fonte: Exame Informática

O passo que faltava para a lei nacional do Regulamento Geral da Proteção de Dados (RGPD) ser de aplicação obrigatória está dado. Só falta a publicação em Diário da República.

O documento português já tinha saído do Grupo de Trabalho parlamentar dedicado ao RGPD e aprovado pelos deputados a 14 de junho, mas só agora foi promulgado pelo Presidente da República, esperando-se brevemente a publicação em Diário da República.

O comunicado da Presidência da República relativo ao assunto admite que a lei portuguesa não é perfeita, mas ainda assim considera-se necessária a promulgação: “embora a legislação nacional não tenha acolhido, tal como refere a CNPD no seu Parecer, uma maior atenção na economia das normas e uma maior clarificação dos direitos e liberdades relativos ao tratamento de dados pessoais -, mas tendo em consideração que o Regulamento Geral sobre Proteção de Dados é aplicável desde o dia 25 de maio de 2018, o Presidente da República promulgou o Diploma que assegura a execução, na ordem jurídica nacional, do Regulamento (UE) 2016/679 do Parlamento e do Conselho, de 27 de abril de 2016, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados”.

Há poucos dias, a União Europeia relembrou que Portugal, Grécia e Eslovénia eram os únicos estados-membros que ainda não tinham transposto o regulamento europeu para a lei nacional, e ameaçou “utilizar os instrumentos à sua disposição, incluindo os procedimentos de infração” para ver cumpridas as regras. Não será preciso, agora que Portugal já viu a lei nacional sobre o RGPD promulgada.

Como já anteriormente tinha sido indicado, as principais alterações feitas pelo grupo de trabalho no documento do governo. Destacam-se a continuação da exceção de coimas para o Estado durante três anos, mas agora apenas com autorização da CNPD.

O montante das coimas que forem aplicadas reverte em 60% para o Estado e em 40% para a CNPD.

A idade mínima para consentimento de tratamento de dados fixa-se no novo documento nos 13 anos, e não nos 16, como antes previsto.

Também a advertência prévia dos agentes em incumprimento, antes de aplicação de sanções, é obrigatória, por parte da CNPD, exceto em caso de dolo.

O enquadramento das sanções também é especial no caso português, distinguindo-se contraordenações muito graves e graves (que já eram uma realidade no documento do governo), uma ideia que não está prevista na norma europeia mas que os deputados resolveram manter.

Uma contraordenação muito grave pode chegar a ser multada em 20 milhões de euros ou em 4% do volume de negócios, no caso das grandes empresas, e 2 milhões no caso das PME, conforme o valor mais elevado. As contraordenações graves são puníveis com multa até 10 milhões de euros ou 2% do volume de negócios, nas PME esse valor é de 1 milhão e mantém-se a proporção de 2%.

Fonte: IT Insight

A agência que obriga ao cumprimento do RGPD no Reino Unido, a ICO, multou a British Airways por violação de dados dos seus passageiros.

Durante o verão de 2018 a British Airways viu-se envolvida num ciberataque que expôs os dados de cerca de 500 mil pessoas, num ataque que envolveu 380 mil cartões de pagamento.

Os hackers atuavam através da página da internet e aplicação móvel da British Airways e tiveram acesso a logins, cartões de pagamento, nomes, moradas e informações de viagens.

O regulador britânico crê que sucesso do ataque foi culpa da falta de medidas de segurança por parte da transportadora aérea, e multou-a agora em 1,5% da sua faturação, 204 milhões de euros.

“Estamos surpreendidos e desapontados”, referiu em comunicado o presidente da British Airways, Alex Cruz, que acrescenta que “a British Airways respondeu rapidamente ao ato criminoso do roubo dos dados de clientes e não encontrou evidências de atividade fraudulenta nas contas afetadas por esse roubo”.

O IAG, grupo detentor da transportadora, vai rebater a multa. O prazo para o fazer é de 28 dias.

Fonte: IT Insight

Este site utiliza cookies para otimizar a sua experiência. Ao continuar a navegar neste site, está a concordar com o uso destes cookies. Saber mais. OK
VOLTAR AO TOPO