Resultado de imagem para hackers usam google maps para levar usuários a sites maliciosos

Uma falha no sistema de redirecionamento e verificação de links do Google Maps está permitindo que hackers “ocultem” endereços de sites maliciosos em URLs do serviço. Com isso, usuários incautos podem ser levados a sites que carregam malwares ou ofertas falsas, em busca de dados das vítimas, sem que o navegador utilizado emita alertas sobre isso.

A descoberta foi da empresa de segurança da informação Sophos, que aponta para uma falha existente desde setembro do ano passado e que ainda não foi corrigida pela Google. A vulnerabilidade é usada por meio de uma alteração simples no endereço digitado, que em vez de levar diretamente para o site malicioso, o que ativaria sistemas de proteção embutidos na maioria dos navegadores, utiliza a URL do serviço de mapas como um “intermediário”.

Assim, em vez de espalharem por aí o endereço “sitehacker.com”, os responsáveis pelo golpe usariam a versão “https://maps.app.goo.gl/?link=https%3A%2F%2Fsitehacker.com”. Assim, ao detectar se tratar de um endereço do Google Maps, o browser libera o acesso que, logo na sequência, leva o usuário ao domínio controlado pelos criminosos.

A partir daí são diferentes as explorações possíveis. Podem acontecer tentativas de download de malware tanto no computador quanto celular das possíveis vítimas, ou, então, ofertas boas demais para serem verdade, que pedem dados pessoas ou de cartão de crédito para realização de fraudes. Além, claro, das tradicionais páginas piscantes que oferecem remédios ou serviços para atrair mulheres com mais facilidade.

A correção da falha, entretanto, cabe à Google, que deve restringir o redirecionamento a partir de URLs do Google Maps ou, então, aplicar mecanismos de verificação que levem em conta uma URL completa. A falta de atenção a esse caso deve ter a ver, porém, com o fim do serviço de encurtamento de endereços goo.gl, que deixou de funcionar em abril para a criação de novos links.

Entretanto, esse fechamento não é generalizado, uma vez que URLs encurtadas já existentes continuarão a funcionar indefinidamente, o que inclui, também, os endereços maliciosos já criados pelos hackers e que podem continuar a circular por aí. Novamente, a solução pode vir por meio de um incremento do sistema de verificação, mas, como a empresa não comentou o assunto, fica difícil de saber se esse tipo de correção está a caminho.

Enquanto isso, o alerta é de cautela para os usuários. Ao clicarem em links do Google Maps, fiquem atentos principalmente se a página aberta não for a esperada. Além disso, como sempre, jamais confie em ofertas e promoções incríveis e que parecem fora da realidade, e não insira dados pessoais nem faça cadastros em sites suspeitos.

Empresas de tecnologia correm contra o tempo para consertar falhas de segurança em chips que deixaram praticamente todos os computadores no mundo – e diversos outros dispositivos – vulneráveis a ataques de hackers.

A indústria de tecnologia está ciente do problema há meses e esperava resolvê-lo antes que a questão se tornasse pública.

Algumas correções foram introduzidas, sob a forma de atualizações de software, ou estarão disponíveis nos próximos dias, segundo a Intel, que fornece chips para cerca de 80% dos desktops e 90% dos laptops em todo o mundo.

Ainda não foram registrados ataques. Mas até que ponto você pode ser afetado? Confira abaixo o que se sabe até agora.

Quais são os bugs?

Pesquisadores identificaram duas falhas de segurança diferentes: Meltdown e Spectre.

A Meltdown atinge laptops, computadores desktop e servidores de internet com chips Intel.

Já a Spectre tem alcance potencialmente maior. E afeta chips em smartphones, tablets e computadores com tecnologia Intel, ARM Holding e Advanced Micro Devices (AMD).

Segundo Bryan Ma, analista sênior da consultoria de tecnologia IDC, centros de processamento de dados e dispositivos que se conectam à nuvem também correm risco.

Qual a dimensão do problema?

Primeiramente, não há motivo para pânico. Mas, em teoria, a exposição à falha Meltdown é enorme. O IDC estima que existem 1,5 bilhão de computadores pessoais (incluindo desktops e laptops) em uso hoje – e cerca de 90% usam chips Intel.

O Centro Nacional de Segurança Cibernética (NCSC, na sigla em inglês) do Reino Unido diz que não há evidências de que a vulnerabilidade tenha sido explorada.

Mas, agora que a informação se tornou pública, existe a preocupação de que as falhas sejam descobertas e que hackers tentem se aproveitar delas.

A BBC apurou que a indústria de tecnologia identificou o problema há pelo menos seis meses – e que todos os envolvidos, de desenvolvedores a especialistas em segurança, assinaram acordos de confidencialidade. Tudo indica que o plano era tentar manter as falhas em sigilo até que fossem totalmente resolvidas.

De acordo com Chris Foxx, repórter de tecnologia da BBC, quando pesquisadores descobrem uma falha de segurança, eles costumam compartilhar a informação com a empresa envolvida para que o problema seja resolvido.

Normalmente, ambas as partes concordam em não divulgar a falha até que a correção tenha sido implementada, de maneira que os hackers não consigam se aproveitar das brechas.

Desta vez, parece que alguém se antecipou e a informação vazou antes que a correção do software estivesse pronta para distribuição.

Que tipo de informação está vulnerável?

As falhas oferecem aos hackers a possibilidade de acessar dados armazenados na memória do computador e roubar informações como senhas ou números de cartão de crédito.

Segundo Jake Saunders, analista de tecnologia da ABI Research, não está exatamente claro que tipo de informações podem estar correndo risco, mas como as falhas de segurança foram expostas, “a questão é se terceiros podem descobrir e potencialmente explorá-las”.

Como protejo meu computador?

Os fabricantes de dispositivos e provedores de sistemas operacionais correm para tentar solucionar as falhas. Eles estão trabalhando em atualizações de segurança, ou patches (programas usados para correção de bugs), que protegerão os computadores, tablets ou smartphones contra ataques.

Os usuários devem instalá-los assim que estiverem disponíveis.

Os três principais fabricantes de sistemas operacionais – Microsoft, Apple e Linux – vão lançar atualizações, mas ainda não se sabe exatamente quando.

O Google informou, por sua vez, que os smartphones Androids com as atualizações de segurança mais recentes estão protegidos, assim como os usuários de serviços como o Gmail.

Já quem usa versões mais antigas do Chromebook, notebook concebido pelo Google, vai precisar instalar uma atualização que será disponibilizada, enquanto os usuários do navegador Chrome devem receber um patch em 23 de janeiro.

A Apple também está desenvolvendo atualizações de segurança para seus laptops e desktops, mas não está claro até que ponto iPhones e iPads estão vulneráveis.

Os serviços de armazenamento em nuvem para empresas – como Amazon Web Services e Google Cloud Platform – afirmaram que já corrigiram a maioria das falhas e consertarão o restante em breve.

O reparo deixará meu computador mais lento?

Alguns pesquisadores dizem que qualquer reparo poderia deixar os sistemas 30% mais lentos, mas a Intel acredita que essas previsões são exageradas.

A empresa afirma que o desempenho dos dispositivos “depende da carga de trabalho” e, portanto, o impacto para os usuários de computador em geral “não deve ser significativo”.

Bryan Ma, da consultoria IDC, concorda que para a maioria dos usuários comuns – que usam o computador basicamente para navegar na web e acessar e-mail -, as atualizações de segurança provavelmente não vão deixar os dispositivos mais lentos.

Como a indústria de tecnologia vai reagir?

A divulgação da vulnerabilidade dos eletrônicos acontece em um momento singular para a indústria. Na semana que vem, começa em Las Vegas, nos Estados Unidos, a Consumer Electronic Show (CES), a maior feira de tecnologia do mundo.

Muitos participantes vão se perguntar como os novos produtos em exibição nos estandes serão afetados – e os materiais de divulgação que detalham os aumentos de velocidade provavelmente terão que ser revisados.

Os especialistas também acreditam que, como o Meltdown e o Spectre revelam falhas fundamentais na forma como os chips de computador são projetados, será necessário repensar seriamente como essa tecnologia será desenvolvida no futuro.

“Vamos precisar redesenhar sistemas operacionais e a forma como as CPUs (unidade central de processamento) são feitas”, escreveu Rob Graham, pesquisador de segurança em informática em seu blog.

O recém-lançado recurso de enquetes do Facebook tinha um bug que permitia que hackers apagassem qualquer imagem postada na rede social.

A falha foi encontrada pelo pesquisador de segurança Pouya Darabi, que foi recompensado pela rede social ao relatar o bug – ele ganhou US$ 10 mil pela descoberta, de acordo com o Motherboard.

Segundo Darabi, o bug permitia que hackers usassem a requisição enviada pelo navegador aos servidores do Facebook para alterar o ID referente a uma foto por qualquer outra. Assim, um hacker podia criar uma enquete qualquer, usar uma foto postada por outra pessoa, e depois deletá-la – e ela era completamente removida da rede social, até mesmo do perfil de quem postou originalmente.

Além de premiar Darabi pela descoberta, o Facebook também garante que consertou a falha no dia 5 de novembro, logo após ter sido notificado sobre ela pelo pesquisador.

Hackers invadem sistema da previdência e ameaçam vazar dados contra a reforma.

Em ato político, hackers ativistas invadiram o site da previdência Social e ameaçam vazar dados de brasileiros no sistema CADPREV. No caso, o ataque busca fazer pressão contra a reforma de previdência, propagada pelo presidente Michel Temer, PMDB e seus aliados. A reforma da Previdência poderá ser votada nas próximas semanas.

“Olá, presidente Michel Temer, presidente Rodrigo Maia e parlamentares, estou em posse da base de dados do sistema CADPREV da Previdência, são milhares de nomes, CPFs, emails, senhas, etc, um tipo de informação sensível que acredito que vocês não querem ver exposta”, notaram os hackers. “O povo não foi consultado para as reformas na Previdência e jamais aceitaria perder direitos garantidos, portanto nesse sentido estou fazendo uma oferta irrecusável: em troca de não expor os dados na Deep Web, peço que o povo seja ouvido e nenhuma reforma que retire direitos seja aprovada, até porque se sabe que o pretexto de rombo na Previdência é uma farsa já denunciada por Auditores da Receita Federal (www.somosauditores.com.br) e por isso não se justificam as mudanças que vão dificultar o acesso aos benefícios, exigir mais tempo de contribuição e reduzir drasticamente os valores a serem recebidos”.

“Apenas 20% dos trabalhadores que já contribuem com a Previdência têm condições de cumprir com os prazos estabelecidos, ficando claro o tamanho da penalização sobre o trabalhador brasileiro e principalmente sobre os mais pobres, já que a idade mínima de 65 anos para homens e 62 para as mulheres os obrigam a trabalharem mais para conseguir o benefício, pois geralmente começam mais cedo, por volta dos 16 anos”, escreveu em manifesto.

“O Governo faz propaganda enganosa e não está cortando privilégios nem corrigindo rombo orçamentário. A Reforma não considera a realidade do trabalhador brasileiro, e o seu objetivo é satisfazer o mercado dando garantias aos bancos, um sistema que sempre penaliza os trabalhadores quando se vê ameaçado. Não podemos permitir que nos tempos de hoje a população seja enganada pelos interesses financeiros que em nada lhes beneficia, pelo contrário, a conta das ineficiências do governo e do mercado sempre recaem sobre o povo, enquanto os verdadeiros privilégios da elite econômica nunca são afetados. Mas é bom lembra-los que o povo não tem que temer seu Governo, o Governo que tem que temer o seu povo. Espero que não seja preciso chegar nas últimas consequências para o povo ser ouvido”, finaliza o manifesto.

 

 

Resultado de imagem para computador usado para minerar bitcoins

Preste atenção! Seu computador pode estar sendo usado para enriquecer alguém sem que você sequer imagine. Isso mesmo, hackers  e outras mentes mal intencionadas descobriram mais uma forma de fazer dinheiro usando equipamentos alheios: através da mineração de bitcoins (ou qualquer outra moeda virtual em atividade). Pior que não ganhar nada com isso é que você ainda pode sofrer com uma queda significativa de performance da sua máquina.

Talvez você já saiba, o Bitcoin é uma moeda virtual internacional sem qualquer órgão regulador. Seu valor é determinado pela especulação em bolsas de valores virtuais. Recentemente, a criptomoeda que flutua nas leis da oferta e demanda, ultrapassou os oito mil dólares! O que menos gente sabe é que essas moedas virtuais – o Bitcoin inclusive – são produzidas de forma descentralizada. O processo de criação de uma nova unidade de Bitcoin é chamado mineração.

Funciona assim: computadores competem entre si para ver qual máquina – ou conjunto de máquinas – decifra mais rápido problemas matemáticos com valores criptografados. A complexidade dos desafios é ajustado pela própria rede. No final, quem resolve o problema é recompensado com um bloco da moeda.

Em 2009, quando o Bitcoin surgiu, qualquer pessoa era capaz de “minerar” no seu próprio computador. Era só deixar o PC ligado 24 horas por dia trabalhando sem parar que dava certo. O número de interessados cresceu e, proporcionalmente, as equações matemáticas dos desafios ficaram extremamente complexas. Hoje, demandam altíssimo poder computacional. Não é mais para qualquer um…

Sem essas supermáquinas, uma forma de minerar e produzir novos bitcoins é combinar o poder computacional de milhares de computadores. É aí que entram os hackers. Existem três  formas de “sequestrar” máquinas para que elas trabalhem em favor de outra pessoa. A primeira é através da invasão de um site popular e relevante. Os criminosos implantam um código de mineração por trás da página oficial e toda vez que qualquer usuário se conecta, seu computador passa a ser usado como parte de uma rede para minerar. Outra forma é através de aplicativos ou ferramentas que as pessoas instalam nos PCs; se não forem baixados de um ambiente seguro e verificado, esses apps podem trazer embutido um processo de mineração indevido e invisível ao usuário. É possível também, através de um ataque direto, que um malware infecte o PC e instale um minerador em segundo plano.

 

A cidade paraense que é considerada o berço dos cibercriminosos do Brasil.

O berço brasileiro dos crackers banker. O lugar onde nasceram os piratas de computador no Brasil. Estamos na cidade de Parauapebas, Sudeste do Pará. distante 652 km da capitalBelém.

No inicio dos anos 2000, Parauapebas-PA foi várias vezes alvo de ações da Polícia Federal. A maioria dos cibercriminosos presos, como de praxe foram soltos voltaram a cometer o mesmo tipo de ataque virtual.
É o caso do cracker Adalberto Monteiro de Oliveira, o Sarita, e da mulher dele, Monique Soares. Os dois, eram foragidos da Justiça. Ela, já tinha sido presa duas vezes. Ele, três vezes na época, ao ser abordado pela polícia (em 2005) Adalberto teria resistido a prisão e foi baleado, fugiu e ambos foram presos novamente em 2006. Nesse sentido podíamos perceber a fragilidade de leis para a internet desde sempre.
Pioneiro cibercriminoso bancário
Fábio Florêncio Silva, considerado o primeiro hacker banker do Brasil foi preso (já tinha sido presos duas vezes antes) em Parauapebas no ano de 2005, assim como Adalberto eMonique, ele também foi preso e solto outras vezes. Com ele foi apreendido na época um carro deR$ 100 mil comprado, segundo a polícia, com dinheiro dos golpes. Fábio Florêncio Silva teria trabalhado como técnico da Vale do Rio Doce em Carajás (em 1999) juntamente com Ataíde Evangelista (outro cibercriminoso) conhecido na época como “Gênio da Informática”, que automatizou o programa hacker “Disney” e causaram prejuízos em diversas instituições bancárias (ao menos 100 milhões), os golpes virtuais teriam começado no Banco Itaú em 1998 e durou até2000, quando ele reforçou a segurança. Depois foi a vez do Banco do BrasilCaixa Econômica dentre outros bancos.
“Esse dinheiro escorrega da mão da gente como se fosse água. A maioria destrói em farras, noitadas”, dizia Fabio.
“Existem vários Ataídes cometendo o mesmo crime”, disse Ataíde ao ser preso em Marabá-PA.
 
Bancos tinham medo de vazar informações
Em uma época que a internet era muito insegura os bancos temiam que suas imagens fosse jogadas na lama, e dificultavam o trabalho da polícia escondendo fatos e com isso ajudando indiretamente os cibercriminosos.
Modo de agir dos cibercriminosos de Parauapebas

A organização cibercriminosa da cidade paraense era comandada por Antônio Francisco Fernandes de Souza, que solicitou a criação dos programas de computador capazes de roubar dados, e os amigos Fábio Florêncio Silva (que já praticava crimes informáticos e era recrutado sempre por quadrilhas virtuais) e Ataíde Evangelista que usava seus conhecimentos técnicos.

O que interessava a quadrilha interestadual de cibercriminosos com base em Parauapebas-PA, era número de conta bancária e senha de cartão – 20 milhões era o número de brasileiros cadastrados para acessar bancos por computador na época –. Para dar o golpe, o pirata manda um e-mail. Um correio eletrônico, com um texto chamativo. Em busca de mais informações, a vítima clica no endereço sugerido. Aparece então a tela falsa, com espaço para numero de conta e senha. Os dados que a vitima envia vão direto para o computador do pirata. (Golpe usado até os dias atuais).

O piratas também atacavam usando um programa espião, conhecido como Cavalo de Tróia. Pelo e-mail, ele mandava uma mensagem com um arquivo anexado. Uma foto, um cartão virtual por exemplo. Quando o e-mail é aberto, o espião se instalava, captura tudo o quer for digitado e manda para o pirata, inclusive conta e senha, assim que a vitima acessa a página verdadeira do banco. (Também usado até hoje).
Cada programa de invasão era vendido por até R$ 15 mil.
Quem comprava o programa invasor era conhecido como pirata. É ele quem disparava (phishing) e-mails à caça de vítimas. Da quadrilha também fazem parte os aliciadores – os que atraem clientes de bancos para participar do esquema. Na conta desses clientes era depositado o dinheiro desviado de vitimas.
Quarenta clientes de bancos que emprestaram contas responderam a inquérito em São Paulo na época.
 
“De 10 a 20% do valor que seria creditado na conta corrente era destinado para esse titular da conta que emprestava, alugava cartão e senha bancária”, disse Fábio Alcântara, delegado.
Na época não existia uma lei específica para crimes de internet, Fábio Florêncio, o homem que implantou os golpes eletrônicos, respondeu por furto e formação de quadrilha.
 
“Não aconselho ninguém a fazer isso não. O futuro é isso aqui”, falava Fábio.
As operações que caçaram os crackers de Parauapebas.

A primeira operação ocorreu em 2001 denominada de ‘Cash Net‘ surpreendeu os habitantes da cidade paraense, nunca uma operação do tipo tinha sido realizada. Em 2003 ocorreu a operação ‘Cavalo de Troia‘ e em 2004 a ‘Cavalo de Troia II‘ aconteceu também em outros estados, já que os cibercriminosos de Parauapebas fugiam para outros lugares.

A partir dessas ações também surgiram outros desdobramentos como as operações ‘Pégasus I e II‘ em 2005 e ‘Replicante‘ em 2008.

Curiosidades
 
Os habitantes de Parauapebas chamavam os crackers de ‘batatas’ porque alguns mal sabiam operar o Windows e criaram o site batatas.com para se comunicar.
 
Na época não havia leis específicas para crimes virtuais, os presos eram soltos e voltavam a praticar os crimes.
 
Pará, Maranhão, Ceará, Goiás, Piauí e Tocantins eram os estados de ondem agiam a quadrilha.
 
De 80 a 100 milhões é o tamanho estimado do prejuízo dado pelos crackers paraenses (os números não são precisos).
 
Vários menores de idade foram presos, e a idade média dos adultos era de 20 a 25 anos na época.
 
Muitos crackers usavam lan houses para praticar seus crimes.
 
Wellington Patrick Borges Souza foi preso novamente em 2011 após criar uma nova quadrilha de criminosos virtuais bancários, ele era integrante da quadrilha que foi presa em 2004 na operação cavalo de troia. 
 
Ataíde Evangelista era um ‘robin hood virtual’ chegava a roubar de um para dar a outro ‘necessitado’. Não tinha curso superior na área de TI era um autodidata.
 
As vítimas começaram a sugerir a contratação de hackers para defender os bancos.
 
Em 2007 a justiça condenou 65 integrantes da quadrilha em primeira instância. Fábio Florêncio Silva pegou 19 anos, Adalberto Monteiro pegou 12 anos e Ataíde Evangelista pegou 17 anos e o ‘chefe’ da quadrilha Antônio Francisco Fernandes de Souza pegou 21 anos de prisão.

Os crackers de Parauapebas-PA foram os primeiros a serem condenados por crimes virtuais no Brasil (2007), abrindo caminho para punir fraudes virtuais.

Até hoje (2017 ano que foi feito essa matéria) a polícia continua prendendo crackers oriundos de Parauapebas (Cidade prodígio?) vide operação Stalker realizada em Julho de 2017.

A partir dessa organização cibercriminosa que surgiu em Parauapebas/PA, diversas outras surgiram pelo Brasil.

Após aumento na conta de luz, hackers deixam site da ANEEL no 'escuro'.

Agência Nacional de Energia Elétrica (ANEEL) aprovou, na última terça-feira (24), o aumento de 42,8% para o valor do patamar 2 da bandeira tarifária vermelha. O que isso significa? A taxa extra cobrada nas contas de luz quando a bandeira for acionada vai passar de R$ 3,50 paraR$ 5 a cada 100 kWh consumidos. Ou seja: a conta vai ficar bem mais cara.

Em forma de protesto, o site oficial da ANEEL amanheceu com uma mensagem da Anonymous, com assinatura de Morpheus“A Eletrobras é a maior produtora de energia juntamente da usina de Itaipu. Hoje, o governo atua no sentido de sucatear Estatais o quanto pode, demitindo milhares de trabalhadores, justamente para forjar uma justificativa para a privatização”, escreveu o hacker. “O resultado? O aumento de 40% na sua conta de energia elétrica. Além disso, aumentam a tarifa também no mês onde as famílias mais gastam, por conta da temperatura elevada, com ventilador e ar-condicionado”. 
hacker teve sucesso em alterar um domínio da Agência Nacional de Energia Elétrica, incluindo uma imagem da Anonymous e o texto.
“Além da exploração ambiental de forma predatória, que dá base ao sistema capitalista, se relaciona com a diminuição dos índices pluviométricos e o principal fator: que o governo do vampirão (leia-se Michel Temer) quer garantir o lucro dos empresários às custas dos trabalhadores que, ao contrário desses exploradores, só têm aumento na sua manutenção de vida e nos salários fica a desejar. Subverta! Não vamos pagar a conta! Desobediência civil já!”, finalizou o hacker.
A célula da AnonOpsBR, um dos braços da Anonymous no Brasil, twittou a invasão: “Olá, Aneel e Sr. Presidente @MichelTemer temos um recado para os senhores. Com Amor, O POVO #Anonymous”.

Segundo pesquisadores da ESET, cibercriminosos estão infectando computadores Apple Mac com o malware Proton; dessa maneira, comprometendo o software Elmedia Player e o Folx. A injeção do malware aconteceu na versão gratuita do software disponível no site oficial de desenvolvedor da Eltima — e o Proton entra no Mac sem disparar qualquer alerta antivírus.

A desenvolvedora Eltima reconheceu a presença do malware e comentou o seguinte, como trouxe o HackRead: “No dia 19 de outubro de 2017, fomos informados pela ESET de que nossos servidores foram hackeados e os apps Folx e Elmedia Player estavam distribuindo malware. Apenas as versões dos softwares presentes em nosso site estavam infectadas. Contudo, o mecanismo integrado de atualização automática não foi afetado”.

O malware Proton era vendido na Dark Web em 2016 por alguns bitcoins. Na época, a ferramenta maliciosa era buscada por muitos cibercriminosos por sua capacidade de vigilância e controle: ao infectar uma máquina, o Proton tem controle total do dispositivo, podendo roubar senhas, acompanhar troca de mensagens e vídeos em tempo real pela webcam, baixar arquivos etc.

A única maneira de limpar o Proton de um computador infectado é a reinstalação completa do sistema operacional. Apesar do problema ser corrigido no servidor da Elmedia, fica o alerta para usuários não realizarem downloads em sites terceiros para manter a integridade do computador.

mac apple

No começo de 2013, grandes empresas como Apple, Facebook e Twitter foram atacadas por um grupo hacker que conseguiu efetuar as invasões explorando uma brecha do Java. A Microsoft estava entre elas, e declarou na época que um “pequeno número de computadores” tinha sido comprometido, mas sem dar muitos detalhes.

A companhia chegou inclusive a afirmar o seguinte: “Não temos evidência de que dados de usuários tenham sido afetados.” Mas internamente um sinal vermelho tinha sido levantado. A Reuters publicou uma reportagem nesta terça-feira, 17, revelando que aquele ataque de 2013 afetou um dos bancos de dados mais sensíveis da Microsoft, justamente o que contém descrições de vulnerabilidades críticas e não resolvidas em seus produtos.

Essas informações são muito problemáticas porque elas poderiam fornecer meios para que indivíduos ou até governos hackeassem pessoas, empresas e Estados usando brechas em produtos como Windows e o pacote Office. Um exemplo de ataque desse gênero foi o WannaCry, que só foi possível após o vazamento de um banco de dados da Agência de Segurança Nacional dos EUA contendo ferramentas de hacking.

A história foi confirmada independentemente por cinco pessoas que faziam parte da equipe de segurança da Microsoft naquela época, mas a empresa não quis fazer comentários.

Segundo os ex-funcionários, algum tempo depois do ocorrido, a Microsoft analisou ataques a outras empresas para tentar entender se o conteúdo disponível no banco de dados poderia ter sido usado naquelas ocasiões, mas não encontrou evidências que levassem a essa conclusão. Além disso, algumas das brechas já tinham sido resolvidas, o que contribuiu na decisão de não tornar a situação pública.

Depois disso, a empresa ampliou a segurança do banco de dados, que até então estava trancado apenas por uma senha.