📰 Informação fresquinha chegando para você!
Confira agora e compartilhe com seus amigos!
Apoie esse projeto de divulgacao de noticias! Clique aqui
Um hacker afirma ter violado a Condé Nast e vazado um suposto banco de dados WIRED contendo mais de 2,3 milhões de registros de assinantes, ao mesmo tempo que alerta que planeja liberar até 40 milhões de registros adicionais para outras propriedades da Condé Nast.
Em 20 de dezembro, um agente de ameaça usando o nome "Lovely" vazou o banco de dados em um fórum de hackers, oferecendo acesso por aproximadamente US$ 2,30 no sistema de créditos do site. Na postagem, Lovely acusou a Condé Nast de ignorar os relatórios de vulnerabilidade e afirmou que a empresa não levou a segurança a sério.
“A Condé Nast não se preocupa com a segurança dos dados de seus usuários. Levamos um mês inteiro para convencê-los a corrigir as vulnerabilidades em seus sites”, diz um post em um fórum de hackers.
“Vamos vazar mais dados de seus usuários (mais de 40 milhões) nas próximas semanas.
Postagem no fórum vazando dados WIRED em um fórum de hackersFonte: BleepingComputer
Posteriormente, a mesma pessoa vazou os dados em outros fóruns de hackers, onde os usuários também tiveram que gastar créditos do fórum para revelar a senha do arquivo que contém os dados.
Lovely também compartilhou contagens recordes de outras propriedades da Condé Nast que afirmam ter roubado dados, incluindo, com base nas abreviações usadas, The New Yorker, Epicurious, SELF, Vogue, Allure, Vanity Fair, Glamour, Men's Journal, Architectural Digest, Golf Digest, Teen Vogue, Style.com e Condé Nast Traveller.
Embora a Condé Nast ainda não tenha confirmado que houve violação, o BleepingComputer analisou o banco de dados vazado e conseguiu validar vinte dos registros como assinantes legítimos do WIRED.
O conjunto de dados contém um total de 2.366.576 registros e 2.366.574 endereços de e-mail exclusivos, com carimbos de data/hora variando de 26 de abril de 1996 a 9 de setembro de 2025.
Cada registro inclui um ID interno exclusivo do assinante, um endereço de e-mail e dados opcionais, como nome e sobrenome, número de telefone, endereço físico, sexo e data de nascimento. Muitos desses campos estão vazios.
Os registros também incluem carimbos de data e hora de criação e atualização de conta, informações da última sessão e campos específicos do WIRED, como nome de usuário de exibição e datas de criação e atualização da conta WIRED.
Registro de exemplo de dados vazadosFonte: BleepingComputer
Embora muitos dos campos de registros estejam vazios, alguns incluem detalhes pessoais adicionais.
Aproximadamente 284.196 registros (12,01%) incluem nome e sobrenome, 194.361 registros (8,21%) incluem um endereço físico, 67.223 registros (2,84%) incluem um aniversário e 32.438 registros (1,37%) incluem um número de telefone.
Um subconjunto muito menor inclui perfis mais completos, com 1.529 registros (0,06%) contendo nome completo, data de nascimento, número de telefone, endereço e sexo.
Alon Gal, cofundador e CTO da Hudson Rock, também verificou os registros usando logs de infostealer contendo credenciais previamente comprometidas.
“Nossos pesquisadores identificaram credenciais legítimas de assinantes do wired.com nos registros globais de infecção por infostealer”, diz um artigo no Infostealers.com.
“Ao comparar essas credenciais comprometidas com os registros do banco de dados vazado, confirmamos definitivamente a autenticidade do conjunto de dados sem qualquer interação com a organização vítima”.
O banco de dados vazado foi adicionado ao Have I Been Pwned, permitindo aos usuários verificar se seus endereços de e-mail foram expostos pelo vazamento de dados.
Afirmando ser um pesquisador de segurança
Antes do vazamento, Lovely supostamente alegou ser um pesquisador de segurança que contatou Dissent Doe, do DataBreaches.net, para obter ajuda na divulgação responsável de vulnerabilidades à Condé Nast.
De acordo com DataBreaches.net, o indivíduo os contatou no final de novembro em busca de ajuda para entrar em contato com a equipe de segurança da Condé Nast sobre vulnerabilidades que supostamente permitiam que invasores visualizassem e modificassem informações de contas de usuários.
A pessoa disse inicialmente que havia baixado apenas um pequeno número de registros para fornecer provas à Condé Nast, incluindo registros verificados como pertencentes ao DataBreaches.net e a um funcionário da WIRED.
No entanto, depois de não receber resposta da Condé Nast, a pessoa disse mais tarde ao Dissent Doe que havia baixado todo o banco de dados e ameaçava vazá-lo.
Dissent Doe concluiu que ela havia sido enganada e descreveu o incidente como um caso em que eles foram interpretados por um agente de ameaça que baixou e vazou dados roubados, em vez de buscar uma divulgação responsável.
"Quanto a 'Lovely', eles me enganaram. A Condé Nast nunca deveria pagar-lhes um centavo, e ninguém mais deveria, já que sua palavra claramente não é confiável", admitiu DataBreaches.net.
BleepingComputer contatou a Condé Nast com perguntas sobre o incidente, mas não recebeu resposta até o momento.
Divida silos IAM como Bitpanda, KnowBe4 e PathAI
IAM quebrado não é apenas um problema de TI – o impacto se espalha por todo o seu negócio.
Este guia prático aborda por que as práticas tradicionais de IAM não conseguem manter
Em 20 de dezembro, um agente de ameaça usando o nome "Lovely" vazou o banco de dados em um fórum de hackers, oferecendo acesso por aproximadamente US$ 2,30 no sistema de créditos do site. Na postagem, Lovely acusou a Condé Nast de ignorar os relatórios de vulnerabilidade e afirmou que a empresa não levou a segurança a sério.
“A Condé Nast não se preocupa com a segurança dos dados de seus usuários. Levamos um mês inteiro para convencê-los a corrigir as vulnerabilidades em seus sites”, diz um post em um fórum de hackers.
“Vamos vazar mais dados de seus usuários (mais de 40 milhões) nas próximas semanas.
Postagem no fórum vazando dados WIRED em um fórum de hackersFonte: BleepingComputer
Posteriormente, a mesma pessoa vazou os dados em outros fóruns de hackers, onde os usuários também tiveram que gastar créditos do fórum para revelar a senha do arquivo que contém os dados.
Lovely também compartilhou contagens recordes de outras propriedades da Condé Nast que afirmam ter roubado dados, incluindo, com base nas abreviações usadas, The New Yorker, Epicurious, SELF, Vogue, Allure, Vanity Fair, Glamour, Men's Journal, Architectural Digest, Golf Digest, Teen Vogue, Style.com e Condé Nast Traveller.
Embora a Condé Nast ainda não tenha confirmado que houve violação, o BleepingComputer analisou o banco de dados vazado e conseguiu validar vinte dos registros como assinantes legítimos do WIRED.
O conjunto de dados contém um total de 2.366.576 registros e 2.366.574 endereços de e-mail exclusivos, com carimbos de data/hora variando de 26 de abril de 1996 a 9 de setembro de 2025.
Cada registro inclui um ID interno exclusivo do assinante, um endereço de e-mail e dados opcionais, como nome e sobrenome, número de telefone, endereço físico, sexo e data de nascimento. Muitos desses campos estão vazios.
Os registros também incluem carimbos de data e hora de criação e atualização de conta, informações da última sessão e campos específicos do WIRED, como nome de usuário de exibição e datas de criação e atualização da conta WIRED.
Registro de exemplo de dados vazadosFonte: BleepingComputer
Embora muitos dos campos de registros estejam vazios, alguns incluem detalhes pessoais adicionais.
Aproximadamente 284.196 registros (12,01%) incluem nome e sobrenome, 194.361 registros (8,21%) incluem um endereço físico, 67.223 registros (2,84%) incluem um aniversário e 32.438 registros (1,37%) incluem um número de telefone.
Um subconjunto muito menor inclui perfis mais completos, com 1.529 registros (0,06%) contendo nome completo, data de nascimento, número de telefone, endereço e sexo.
Alon Gal, cofundador e CTO da Hudson Rock, também verificou os registros usando logs de infostealer contendo credenciais previamente comprometidas.
“Nossos pesquisadores identificaram credenciais legítimas de assinantes do wired.com nos registros globais de infecção por infostealer”, diz um artigo no Infostealers.com.
“Ao comparar essas credenciais comprometidas com os registros do banco de dados vazado, confirmamos definitivamente a autenticidade do conjunto de dados sem qualquer interação com a organização vítima”.
O banco de dados vazado foi adicionado ao Have I Been Pwned, permitindo aos usuários verificar se seus endereços de e-mail foram expostos pelo vazamento de dados.
Afirmando ser um pesquisador de segurança
Antes do vazamento, Lovely supostamente alegou ser um pesquisador de segurança que contatou Dissent Doe, do DataBreaches.net, para obter ajuda na divulgação responsável de vulnerabilidades à Condé Nast.
De acordo com DataBreaches.net, o indivíduo os contatou no final de novembro em busca de ajuda para entrar em contato com a equipe de segurança da Condé Nast sobre vulnerabilidades que supostamente permitiam que invasores visualizassem e modificassem informações de contas de usuários.
A pessoa disse inicialmente que havia baixado apenas um pequeno número de registros para fornecer provas à Condé Nast, incluindo registros verificados como pertencentes ao DataBreaches.net e a um funcionário da WIRED.
No entanto, depois de não receber resposta da Condé Nast, a pessoa disse mais tarde ao Dissent Doe que havia baixado todo o banco de dados e ameaçava vazá-lo.
Dissent Doe concluiu que ela havia sido enganada e descreveu o incidente como um caso em que eles foram interpretados por um agente de ameaça que baixou e vazou dados roubados, em vez de buscar uma divulgação responsável.
"Quanto a 'Lovely', eles me enganaram. A Condé Nast nunca deveria pagar-lhes um centavo, e ninguém mais deveria, já que sua palavra claramente não é confiável", admitiu DataBreaches.net.
BleepingComputer contatou a Condé Nast com perguntas sobre o incidente, mas não recebeu resposta até o momento.
Divida silos IAM como Bitpanda, KnowBe4 e PathAI
IAM quebrado não é apenas um problema de TI – o impacto se espalha por todo o seu negócio.
Este guia prático aborda por que as práticas tradicionais de IAM não conseguem manter
#samirnews #samir #news #boletimtec #hacker #afirma #vazar #banco #de #dados #wired #com #2,3 #milhões #de #registros
🎉 Obrigado por acompanhar, até a próxima notícia!
Postar um comentário