Lar Securitywatch Exército eletrônico sírio invadiu o aplicativo de bate-papo com tango; o seu site é o próximo?

Exército eletrônico sírio invadiu o aplicativo de bate-papo com tango; o seu site é o próximo?

Vídeo: tango app free cions _ free tango coins & diamond _ tango me free me coins kaise milta hai _ tech4u (Novembro 2024)

Vídeo: tango app free cions _ free tango coins & diamond _ tango me free me coins kaise milta hai _ tech4u (Novembro 2024)
Anonim

Conforme relatado anteriormente, o Exército Eletrônico da Síria (SEA) invadiu o aplicativo de bate-papo Tango entre plataformas e roubou 1, 5 terabytes de dados. Esses dados incluem números de telefone particulares, endereços de email e informações de contato de alguns ou todos os 120 milhões de usuários do aplicativo. Este é apenas o mais recente de uma longa série de ataques bem-sucedidos, principalmente nos meios de comunicação.

Alvos cada vez maiores

O SEA entrou em cena pela primeira vez em setembro passado com uma série de ataques a sites ocidentais em retaliação a um vídeo anti-islâmico. No início, o grupo visava principalmente sites de baixo perfil, muitos com nomes de domínio brasileiros, mas rapidamente atacaram os meios de comunicação internacionais considerados desrespeitosos ao presidente sírio Bashar-al-Assad.

O grupo atacou com sucesso a BBC em março, o Guardian em abril e a Associated Press também em abril. Em maio, eles comprometeram o site e o Twitter do Financial Times e também conseguiram invadir as contas de mídia social do Onion. O Onion, em particular, fez uma descrição clara do que aconteceu com eles, com conselhos para os outros sobre como evitar ser vítima de ataques semelhantes.

Por que Tango?

Não está claro imediatamente por que o SEA atacou o Tango. De acordo com o E Hacking News, o site é executado em uma versão desatualizada do WordPress, então pode ter sido apenas um alvo de oportunidade. A BBC relata que o grupo "dará 'grande parte da informação' ao governo sírio".

Claramente, este não é um caso de retaliação contra os críticos do presidente sírio Bashar-al-Assad. No entanto, uma coleção dessas informações pessoais pode ser extraída para dados pessoais relacionados a futuros alvos de ataques. Sabendo o nome, endereço de e-mail e número de telefone de uma vítima na organização-alvo, os hackers podem criar um e-mail muito convincente de "spear-phishing".

O SEA voltou ao modo retaliatório quando o blog Daily Dot comentou sobre o hack do Tango usando uma caricatura do presidente Bashar-al-Assad. O SEA primeiro pediu para remover a foto; eles até disseram "por favor". Quando o blog recusou, o SEA invadiu e removeu o artigo inteiro, ameaçando "excluir todo o site" em uma segunda ofensa.

Tango para baixo?

Tentei entrar em contato com o Tango, mas a página http://www.tango.me/contact-us retornou um erro "Não encontrado". Achando que a ferramenta pode incluir dados de contato internos, tentei fazer o download da edição para PC. Aqui também o link (http://www.tango.me/downloading-pc/) me deu apenas um erro "Não encontrado". Quando tentei visualizar o perfil do LinkedIn da empresa, recebi a mensagem "Ocorreu um problema inesperado que nos impediu de concluir sua solicitação". Parece possível que o Tango tenha sofrido mais danos de hackers do que o simples roubo de dados do usuário.

Defenda seu site

O WordPress é uma plataforma muito popular para sites no estilo de blog e, como tal, é o principal alvo de ataques. Se o seu site depende do WordPress, é absolutamente necessário manter a plataforma atualizada, pois muitas das atualizações corrigem sérias vulnerabilidades de segurança. Aparentemente, o tango não; veja o que aconteceu com eles.

Muitos meios de comunicação usam uma conta de grupo do Twitter, com vários repórteres enviando tweets. É um pouco mais difícil proteger uma conta de grupo do Twitter como essa, mas o SecurityWatch tem algumas dicas para você. Observe que a autenticação de dois fatores do Twitter não é eficaz para uma conta de grupo.

O elo mais fraco

O maior ponto de entrada para hackers e o mais difícil de proteger é o ataque da engenharia social. Por exemplo, um funcionário da The Onion foi enganado por uma mensagem de phishing ao inserir credenciais do Google Apps em um site falso. Essas credenciais deram aos hackers acesso a todas as contas de mídia social do The Onion. Eles também usaram a conta invadida para transmitir um segundo ataque de phishing a mais funcionários.

Você precisa de uma defesa de várias camadas contra esse tipo de ataque. Crie e aplique uma política em que todos os funcionários devem usar senhas fortes. Instrua-os sobre como identificar mensagens de email fraudulentas e o que fazer com os links nos emails (não clique neles!). Limite suas perdas em potencial, dando a cada funcionário acesso apenas às contas e recursos necessários para o trabalho. E esteja preparado para a eventualidade de que, apesar de todas as suas precauções, alguns schmo caiam em uma mensagem de phishing e comprometam seu site.

Exército eletrônico sírio invadiu o aplicativo de bate-papo com tango; o seu site é o próximo?