Pesquisadores de segurança da empresa GitGuardian descobriram uma falha que revelou a chave de acesso privada de alguns dos sites mais importantes do mundo: parte integral dos certificados TLS, que protegem senhas e dados de cartões de crédito, por exemplo, essas chaves podem dar acesso total de hackers às páginas. O que é um Supply Chain Attack? O que é spoofing? As chaves públicas, como o nome já diz, podem ser vistas por todo mundo, mas as privadas precisam se manter em segredo: a encriptação de qualquer site estará comprometida se essa informação vazar. Empresas do grupo Fortune 500, que representam as mais lucrativas do mundo, bem como sites governamentais globais estão entre os afetados pela brecha. Como identificar os sites afetados? Segundo a GitGuardian, a empresa vem acompanhando o vazamento de aproximadamente um milhão de chaves privadas acidentalmente postadas em sites públicos, como GitHub e DockerHub, desde 2021. Com referenciamento cruzado com a base de dados web da Google, a equipe conseguiu mapear os vazamentos a 140.000 certificados. -Entre no Canal do WhatsApp do Canaltech e fique por dentro das últimas notícias sobre tecnologia, lançamentos, dicas e tutoriais incríveis.- Depois de anos, apenas poucos milhares de sites continuaram com os certificados válidos e ativos, mas poucos se preocuparam em resolver a vulnerabilidade (Imagem: GitGuardian/Divulgação) Até setembro de 2025, exatamente 2.622 desses certificados ainda estavam válidos e ativos. Mais de 900 são de companhias na lista Fortune 500, serviços de saúde e agências governamentais. Com os dados em mãos, é possível imitar completamente os sites (spoofing) e interceptar dados, então é preocupante que muitos deles não se importem em corrigir a vulnerabilidade de criptografia séria. Mesmo com anos de pesquisa, os pesquisadores relataram dificuldades para descobrir a quais sites as chaves privadas vazadas pertenciam: dos 2.600 certificados válidos, apenas 16% informavam a qual organização estav...
Fonte: Canaltech
Leia mais: https://canaltech.com.br/seguranca/empresas-da-fortune-500-vazam-chaves-privadas-e-abrem-as-portas-para-hackers/
Fonte: Canaltech
Leia mais: https://canaltech.com.br/seguranca/empresas-da-fortune-500-vazam-chaves-privadas-e-abrem-as-portas-para-hackers/