Conviso: Nosso Blog

A notícia abaixo, reproduzida do site Geek, confirma a tendência apontada no relatório 2008 Data Breach Investigations Report, onde um dos problemas mais comuns enfrentados pelas empresas estudadas no documento, foi terem exploradas vulnerabilidades simples em seus sistemas.

Se você está preocupado em como a sua empresa trata este tipo de assunto, recomendamos ler a descrição do Conviso Security Training, onde a nossa equipe capacita o seu pessoal na inclusão de processos de segurança no desenvolvimento de aplicações, o que é claro, inclui componentes web.

Dados de 41 mil pessoas vazam na internet

Os dados dos mais de 41 mil entrevistados da firma de pesquisa de mercado TNS Infratest/Emnid estavam acessíveis através de uma URL simples. A falha, embora não seja a primeira do tipo, se trata de um erro de segurança banal, normalmente cometido por programadores principiantes.

Além dos dados citados acima, também podiam ser visualizados datas de nascimento, endereços de email e números de telefone e, até mesmo, dados mais críticos como números de cartões de crédito e informações bancárias. A falha chegava a expor informações muito pessoais e potencialmente perigosas como o número de crianças na casa e eletrodomésticos utilizados na residência. Segundo o site Chaos Computer Club é possível encontrar, com um pouco de "garimpo", informações ainda mais sigilosas.

Os 41 mil registros "pescados" pelo Chaos Computer Club foram obtidos com um simples script em linguagem Python. Não foi preciso "hackear" nem invadir o site da TNS Infratest/Emnid, bastando apenas manipular a URL. Basicamente, o endereço de cadasto de cada pesquisado no site se parecia com o seguinte: www.report-global.com/blablabla/data.aspx?id=11XXXX. O campo "id" na URL é, exatamente, o número de cadastro de cada entrevistado. Basta alterar manualmente esse valor para ter acesso irrestrito e sem precisar de senhas aos dados dos outros entrevistados. O site Wired Security considerou a falha, pelo seu amadorismo, "chocante e estúpida". A descrição do procedimento (em alemão) pode ser obtida aqui.

Dirk Engling, porta-voz do Chaos Computer Club, afirma que é um caso absurdo de negligência e um erro de iniciantes em desenvolvimento de software. Ele ainda afirma que o mínimo que a companhia se deve prestar a fazer é comunicar os entrevistados sobre o vazamento das informações. Finalizando, alerta que é hora de se atentar para as políticas de segurança na manipulação de dados tão sensíveis.

A notícia foi divulgada também no site Slashdot.org e no portal alemão All About Security. Embora preocupante, o caso, reportado na última sexta-feira, não é único. Recentemente as empresas alemãs German Telecom e Meldeämtern também apresentaram ocorrências de informações vazadas na rede, bem como muitas outras em inúmeros países.

Posted by conviso at 10:57 AM | Permalink | Comments (0) | TrackBacks (0)

Conviso oficializa sociedade com a consultoria dinamarquesa FortConsult
As empresas assinam contrato de parceria para o desenvolvimento de negócios nos mercados latino-americano e europeu

Copenhagen, 04 de julho de 2008 – A Conviso anuncia a assinatura de um contrato de parceria com a FortConsult, empresa dinamarquesa líder no mercado de IT Security para o mercado escandinavo. As empresas, que atuavam em um modelo de cooperação comercial mútua desde dezembro de 2007, assinaram nesta data em Copenhague um contrato de sociedade firmado entre Eduardo Vianna de Camargo Neves, Gerente de Operações da Conviso, e Ulf Munkedal, CEO da FortConsult.

A FortConsult passa a ser sócia da Conviso, resultando em duas grandes mudanças para as empresas:

• A Conviso passa a representar a FortConsult no mercado latino-americano, ficando responsável por atender diretamente clientes em serviços de consultoria para IT Security e em ações para atendimento de compliance com o padrão Payment Card Industry Data Security Standard (PCI DSS).
• A FortConsult passa a contar com a experiência e especialização da Conviso na prestação de serviços para o mercado europeu, onde profissionais brasileiros irão desenvolver diversos serviços à partir dos escritórios de Curitiba e São Paulo para clientes do mercado europeu.
  

O início das atividades resultantes desta sociedade irão começar no dia 08 de julho de 2008, quando a Conviso irá executar um road show na Lituânia e Letônia apresentando os produtos das empresas para clientes do mercado financeiro na região.

Sobre a Conviso
Atuando como fornecedora de serviços de análise de vulnerabilidades e adequação de segurança para os componentes da infra-estrutura de TI, a conviso tem em seu corpo gerencial profissionais com mais de 10 anos de experiência no mercado de Segurança da Informação, acumulando experiências nos mercados latino-americano, norte-americano e europeu como consultores, auditores e gestores em multinacionais de segmentos altamente regulamentados.

Sobre a FortConsult
A FortConsult é especializada em serviços técnicos no campo de Segurança da Informação, atuando desde 2002 no mercado europeu, com um crescimento intenso e sustentável, sendo considerada pelo jornal de negócios Børsen como uma das melhores empresas de Segurança da Informação nos Países Escandinavos.
 

Posted by conviso at 08:28 AM | Permalink | Comments (0) | TrackBacks (0)

Posted by conviso at 06:05 PM | Permalink | Comments (0) | TrackBacks (0)