Uma instalação desatualizada do vBulletin tem o site de fórum do ZoneAlarm violado por hackers

É do conhecimento geral que ninguém é imune a ataques cibernéticos e, se você ainda precisa de mais provas disso, pode dar uma olhada em algumas das empresas de segurança que foram violadas com êxito por cibercriminosos. ZoneAlarm, uma subsidiária da Check Point, é o exemplo mais recente.

No início desta semana, vários veículos de comunicação informaram que o ZoneAlarm havia sofrido uma violação de dados. Uma das primeiras coisas que devem ser destacadas é que o incidente não é especialmente impactante. Os atacantes acessam os fóruns do ZoneAlarm e roubam informações pessoais que pertencem a um número relativamente pequeno de usuários. Segundo o The Hacker News, os invasores conseguiram roubar os nomes, endereços de email, datas de nascimento e senhas de hash de cerca de 4.500 pessoas.

O ZoneAlarm desativou todo o fórum para garantir sua segurança e, quando o colocar novamente online, aplicará uma redefinição de senha para todos os usuários. Como de costume, as pessoas afetadas que reutilizaram as mesmas credenciais em outros sites também são aconselhadas a alterá-las, apesar do fato de as senhas roubadas terem hash e serem, portanto, difíceis de recuperar (se não praticamente impossíveis).

No fim das contas, não é o fim do mundo, mas há alguns aspectos preocupantes sobre o incidente que podem servir como um lembrete de como nem os especialistas sempre se comportam da maneira que você espera deles, antes e depois. após esse incidente.

O ZoneAlarm decide fazer o mínimo de barulho possível

Nem o ZoneAlarm nem o Check Point fizeram nenhum anúncio oficial sobre o ataque cibernético. Mesmo agora, depois que um porta-voz admitiu que houve uma violação de dados, é impressionante a falta de um relatório detalhado comunicado por todos os canais habituais.

Alguns podem dizer que a violação não merece tanta atenção porque o número de usuários afetados é limitado e os dados roubados não são especialmente sensíveis. Existem vários problemas com esse argumento. Por um lado, embora as informações roubadas não incluam detalhes ou dados de pagamento que possam levar ao roubo de identidade, ainda podem ser usadas em outros ataques que podem ser muito mais prejudiciais.

Além disso, independentemente da quantidade e natureza das informações roubadas, uma empresa que sofreu uma violação de dados deve ser sempre o mais transparente possível sobre o que aconteceu. E, nesse caso, a única coisa que os usuários receberam é uma notificação por email que não entra em muitos detalhes sobre o que causou a violação de dados. Falando nisso, a violação foi o resultado de um erro que as empresas de segurança não deveriam cometer.

Outro dia, outra empresa de segurança é atacada depois de não consertar o software

Cerca de um mês e meio atrás, a Comodo anunciou que os hackers haviam conseguido atacar com êxito um dos quadros de mensagens de sua propriedade e obtiveram acesso a quase um quarto de milhão de registros de usuários. A empresa de segurança admitiu que os criminosos conseguiram entrar depois de explorar o CVE-2019-16759 - uma vulnerabilidade de execução remota de código no software do fórum vBulletin. A falha de segurança foi divulgada publicamente alguns dias antes do ataque, e um patch foi lançado quase imediatamente. Como você deve ter adivinhado, o Comodo não atualizou seu fórum, e os hackers não precisaram de um segundo convite.

Você esperaria que outras pessoas do setor de segurança cibernética aprendessem com o erro da Comodo e tentariam ficar por dentro de suas atualizações. Infelizmente, o ZoneAlarm não fez nenhuma tentativa de evitar o embaraço de ser hackeado por causa do gerenciamento negligente de patches.

O CVE-2019-16759 afeta todas as versões do vBulletin entre 5.0.0 e 5.5.4, mas as pessoas que executam o projeto acham que ninguém deveria estar usando versões mais antigas do software, e é por isso que os patches foram disponibilizados apenas para as versões 5.5.2 e mais recente. O fórum do ZoneAlarm estava sendo executado no vBulletin 5.4.4, o que significava que era basicamente um pato para os hackers.

Essa violação de dados específica está longe de ser a pior que já vimos, mas mostra que mesmo as pessoas que deveriam conhecer melhor não escaparam da mentalidade "isso não vai acontecer comigo". Infelizmente, da próxima vez que esse tipo de coisa acontecer, as consequências poderão ser muito mais graves.