O2 sufre fuga de datos
Expertos de seguridad volvieron a mencionar la necesidad de terminar con los sistemas de login basados en contraseñas, después de que se reveló que datos pertenecientes a clientes de O2 fueran encontrados en la dark web.
Se piensa que los hackers obtuvieron acceso a las cuentas de O2 porque los clientes usaron las mismas credenciales en el sitio web de juegos XSplit, el cuál fue atacado hace tres años.
Este tipo de técnica de ataque de fuerza bruta es conocido como “credential stuffing”, de acuerdo con la OWASP.
Los datos robados aparentemente incluyen números telefónicos, fechas de nacimiento, correos electrónicos y contraseñas.
Algunos de los usuarios de O2 informados del incidente por la BBC dijeron que habían sido notificados también de posibles problemas con otras cuentas en línea en las que usaron las mismas credenciales para acceder.
O2 es un proveedor de servicios de telefonía en el Reino Unido perteneciente a la compañía multinacional española Telefónica. O2 ha sido rápido en distanciarse del incidente, reclamando que no fue el resultado de un ataque a su compañía.
Fuente de información original.
Twitter paga por hackear Vine
Un investigador ha ganado una significante recompensa por parte de Twitter después de encontrar un fallo de seguridad crítico que le dio acceso al código fuente de Vine, el popular servicio de vídeo de la compañía.
Un experto reconocido en línea como avicoder estaba analizando Vine cuando se topó con el dominio docker.cineapp.com. Docker es una plataforma libre diseñada para crear, desplegar y correr aplicaciones distribuidas utilizando contenedores. Estos contenedores están corriendo instancias de archivos llamados imágenes.
Accediendo al sitio web docker.vineapp.com se mostraba un mensaje de “registro de docker privado”, pero el investigador encontró una manera para acceder a más de 80 imágenes alojadas en él. Avicoder descargó una de estas imágenes, llamada “vinewww”, y descubrió que contenía el código fuente completo de Vine, claves API y claves y secretos de terceros.
El investigador notificó a Twitter a través de la plataforma de bug bounty HackerOne el 21 de marzo, pero la compañía no entendió de manera inmediata el tamaño del problema. El 31 de marzo, Twitter recibió información adicional y corrigió la falla en cinco minutos. Pocos días después, la compañía informó a Avicoder que había calificado para una recompensa de $10,080 dólares.
Fuente de información original.
Vulnerabilidad afecta a teclados bluetooth
Investigadores advirtieron el martes que teclados inalámbricos fabricados por ocho diferentes compañías sufren de una vulnerabilidad que puede permitirle a atacantes espiar en lo que los usuarios teclean desde hasta 76 metros de distancia.
Si se explota la vulnerabilidad, nombrada KeySniffer, podría permitirle a un atacante ver las contraseñas, números de tarjetas de crédito, preguntas de seguridad y sus respuestas , esencialmente cualquier cosa que se teclee en texto claro.
Los teclados afectados son fabricados por Hewlett-Packard, Toshiba, Kensington, Insignia, Radio Shack, Anker, General Electric y EagleTec, de acuerdo con Marc Newlin, un investigador junto con Bastille Networks que descubrieron la vulnerabilidad.
Newlin comenzó a examinar la seguridad de teclados wireless sin bluetooth poco después que Bastille revelara su investigación acerca de Mousejack, una vulnerabilidad similar que descubrió en febrero que le permitía a atacantes inyectar pulsaciones en mouse inalámbricos.
Fuente de información original.
Encuentran vulnerabilidad en Windows 10
Investigadores han encontrado una manera para evadir la función de seguridad de Control de Cuentas de Usuario (UAC, por sus siglas en inglés) de Windows 10 al aprovechar la utilidad de limpieza de disco (Disk Cleanup).
UAC, una función introducida por Microsoft en Windows Vista, está diseñada para proteger al sistema en contra de cambios no autorizados realizados por los usuarios, aplicaciones y malware. En los últimos años, hackers han encontrado diversos métodos para evadir el UAC, principalmente involucrando archivos privilegiados y DLL hijacking.
Los investigadores Matt Graeber y Matt Nelson han encontrado una manera de evadir el UAC en Windows 10 utilizando un método que dicen que tiene muchas ventajas sobre las técnicas previamente expuestas. El método de ataque involucra la limpieza de disco, la utilidad de Windows diseñada para liberar espacio en el disco duro.
Un análisis de las tareas programadas por defecto en Windows 10 revelaron una tarea llamada SilentCleanup, la cual ejecuta el proceso de Disk Cleanup llamado cleanmgr.exe con los más altos privilegios, incluso si se ejecuta por un usuario sin privilegios. El proceso crea una nueva carpeta llamada GUID en el directorio Temp y copia un ejecutable y varios DLL en él. El ejecutable es luego activado y comienza a cargar los DLLs en cierto orden.
Si un atacante puede reemplazar uno de los DLLs con una versión maliciosa antes de que sea cargada por el ejecutable, pueden evadir el UAC y lograr la ejecución de código con altos privilegios.
Fuente de información original.
Patchwork Expande su lista de objetivos
Investigadores de Symantec dijeron que el actor de amenaza de la India conocido como Patchwork o Dropping Elephant, está dirigiéndose a más que sólo organizaciones asociadas al gobierno.
A inicios de julio, Kaspersky Lab nombró al grupo Dropping Elephant (también conocido como chinastrats) y reveló que usaba documentos de Word o PowerPoint adjuntos a correos spam que presentaban contenido con temática de China, como señuelo para atraer a víctimas y que abrieran los adjuntos. En ese tiempo, el grupo estaba abusando de dos vulnerabilidades en Microsoft Office para apuntar a entidades diplomáticas y gubernamentales de China.
Poco después del reporte de Kaspersky, investigadores de Cymmetria publicaron su propio análisis del grupo y lo nombraron Patchwork, porque utiliza código copiado de varios foros en línea. Cymmetria determinó que el grupo estaba activo desde el 2014 y que ha infectado alrededor de 2,500 víctimas desde diciembre del 2015, apuntando a individuos de política y ejército estadounidense, europeos, de medio oriente, y APAC, siempre y cuando tuvieran conexiones con problemas relacionados al Sureste de Asia y el mar del Sur de China.
Fuente de información original.
Encuentran nodos para espiar en usuarios
Investigadores han descubierto más de 100 nodos maliciosos en la red anónima de Tor que están “portándose mal” y potencialmente espiando en sitios de la dark web que utilizan a Tor para enmascarar las identidades de sus operadores.
Dos investigadores, Amirali Sanatinia y Guevara Noubir, de Northwestern University, llevaron a cabo un experimento en la red Tor por 72 días y descubrieron al menos 110 Directorios de Servicios Ocultos (HSDirs) maliciosos en la red.
En otras palabras, el directorio de servicios ocultos o HSDir es un elemento crucial necesitado para enmascarar la verdadera dirección IP de los usuarios de la red Tor. Después del experimento, conducido entre el 12 de febrero del 2016 y el 24 de abril del 2016, los investigadores recolectaron y analizaron todos los datos, revelando que identificaron al menos 110 HSDirs maliciosos, la mayoría ubicados en los Estados Unidos, Alemania, Francia, el Reino Unido y los Países Bajos.
Más del 70% de estos 110 HSDirs maliciosos estaban alojados en infraestructuras de nube profesionales, volviendo difícil saber quién está detrás de los nodos maliciosos. Más aún, el 25% de estos nodos funcionaban tanto como HSDir y nodos de salida para el tráfico de Tor, permitiéndo a las entidades maliciosas ver todo el tráfico no cifrado de la red, conducir ataques de man-in-the-middle (MitM) y espiar en el tráfico de Tor.
Fuente de información original.
Ordenan a Yahoo dar explicaciones
Un juez ha ordenado a Yahoo a explicar cómo recuperó los correos electrónicos borrados en un caso de drogas.
Yahoo no debería ser capaz de realizar esto, ya que “Yahoo! no es capaz de buscar o producir correos electrónicos borrados”, de acuerdo a sus políticas.
Sin embargo, de alguna manera la compañía entregó más de 6 meses de mensajes que conspiradores en un caso de tráfico de drogas creían haber borrado.
Como Motherboard reporta, los abogados defensores están especulando que estos correos electrónicos fueran recolectados a través de intercepción de tiempo real o un programa de vigilancia de la Agencia de Seguridad Nacional (NSA).
La Juez de Magistrado Maria-Elena James otorgó la moción de defensa para el descubrimiento en una orden presentada el miércoles en una corte de San Francisco.
El caso involucra a Russell Knaggs, de Yorkshire, Reino Unido, cuya cuenta de Yahoo fue usada para organizar y discutir un acuerdo para importar 5 toneladas de cocaína de Colombia en el 2009. Knaggs está sirviendo actualmente una sentencia de 16 años en prisión.
Fuente de información original.
Recent Comments