Identificamos divulgação de vulnerabilidades na página da empresa de antivírus Avira no serviço de compartilhamento de código Pastebin. Uma delas é um XSS e as outras são injeções de SQL publicadas pelo grupo hacker brasileiro Fact0r Cr3w.
A vulnerabilidade XSS permanece ativa:
http://www.avira.in.th/br-ownz/<script>alert("pwnz")</script> Uma das injeções de SQL retorna o seguinte erro:
http://www.avira.in.th/partner-login | user:' pass:'
Após identificar convocação (20/07) para uma campanha hacktivista contra páginas do governo peruano publicada no site de compartilhamento de texto Pastebin. Revisando o histórico identificamos uma publicação que contém extensa lista de sites supostamente vulneráveis à injeção de SQL (SQL injection – SQLi).
Dentre as mais 2.600 páginas listadas, foram identificadas 11 páginas peruanas potencialmente suscetíveis à injeção de SQL:
Vamos falar hoje sobre a dificuldade existente nos processos de revelação responsável de vulnerabilidades no Brasil.
Em síntese o processo de revelação responsável é uma cooperação entre um pesquisador de segurança cibernética e uma entidade pública/privada que tem em algum dos seus ativos identificada uma vulnerabilidade.
O processo se iniciaria com a comunicação privada entre o pesquisador que fez a descoberta e a entidade onde a vulnerabilidade se encontra.
No Brasil isso é juridicamente inviável, pois a legislação vigente – apelidada de Lei
…
Identificamos vazamento de dados (18/04) de contas de usuários que seriam do serviço de mensageria Skype.
Não foi possível atestar a veracidade do vazamento postado no site de compartilhamenot de texto Pastebin, tampouco se os dados são mesmo originários do Skype. O atacante de autodeclarada nacionalidade francesa – WyTroZz – sustenta ter obtido os dados por meio de SQL Injection.
Os vazamentos incluem dados como o nome de usuário e as senhas em texto legível de 1.726 do que
…
…