Marriott International sufre una violación de datos récord de 500 m
En el mundo de la ciberseguridad, la privacidad en línea y la protección de datos ocurre cada mes. Es dificil mantenerse al dia!
Nuestro resumen de seguridad mensual lo ayudará a controlar las noticias de seguridad y privacidad más importantes de cada mes. Esto es lo que pasó en noviembre..
1. Marriott International sufre una violación de datos récord de 500 m
Como siempre, una de las mayores noticias de seguridad llega a fin de mes..
Noviembre terminó con el grupo hotelero Marriott International que reveló una enorme brecha de datos. Se cree que hasta 500 millones de registros de clientes se verán afectados ya que el atacante tuvo acceso a la red de la división Marriott International Starwood desde 2014.
Marriott International adquirió Starwood en 2016 para crear la cadena de hoteles más grande del mundo, con más de 5,800 propiedades.
La fuga significa cosas diferentes para diferentes usuarios. Sin embargo, la información para cada usuario contiene una combinación de:
- Nombre
- Dirección
- Número de teléfono
- Dirección de correo electrónico
- Número de pasaporte
- Información de la cuenta
- Fecha de nacimiento
- Género
- Información de llegada y salida.
Quizás lo más importante es la revelación de Marriott de que algunos los registros incluían información encriptada de la tarjeta, pero tampoco podían descartar que las claves privadas también hubieran sido robadas.
El largo y corto de esto es este: si se hospedó en algún hotel Marriott Starwood, incluidas las propiedades de tiempo compartido, antes del 10 de septiembre de 2018, su información podría haber sido comprometida..
Marriott está tomando medidas para proteger a los usuarios potencialmente afectados al ofrecer un año de suscripción gratuita a WebWatcher. Los ciudadanos de los EE. UU. También recibirán una consulta gratuita contra el fraude y una cobertura de reembolso gratuita. En la actualidad, hay tres sitios de inscripción:
- Estados Unidos
- Canadá
- Reino Unido
De lo contrario, consulte estas tres formas sencillas de proteger sus datos Cómo contrarrestar las violaciones de datos: 3 Formas sencillas de proteger sus datos Cómo contrarrestar las violaciones de datos: 3 Formas sencillas de proteger sus datos Las violaciones de datos no solo afectan los precios de las acciones y el departamento gubernamental presupuestos ¿Qué deberías hacer cuando lleguen las noticias de una brecha? Leer más después de una brecha importante.
2. Event-Stream JavaScript Library Injected With Crypto-Stealing Malware
Una biblioteca de JavaScript que recibe más de 2 millones de descargas por semana recibió un código malicioso diseñado para robar criptomonedas.
Se encontró que el repositorio Event-Stream, un paquete de JavaScript que simplifica el trabajo con los módulos de transmisión de Node.js, contiene código confuso. Cuando los investigadores desenfocaron el código, quedó claro que su objetivo era el robo de bitcoins..
El análisis sugiere que el código apunta a las bibliotecas asociadas con la cartera de bitcoins de Copay para dispositivos móviles y de escritorio. Si la billetera Copay está presente en un sistema, el código malicioso intenta robar el contenido de la billetera. A continuación, intenta conectarse a una dirección IP de Malasia.
El código malicioso se cargó en el repositorio de Event-Stream después de que el desarrollador original, Dominic Tarr, entregó el control de la biblioteca a otro desarrollador, right9ctrl.
Right9ctrl cargó una nueva versión de la biblioteca casi tan pronto como se entregó el control, la nueva versión que contiene el código malicioso que se dirige a las carteras de Copay.
Sin embargo, desde entonces, right9ctrl ha subido otra versión nueva de la biblioteca, sin ningún código malicioso. La nueva carga también coincide con Copay que actualiza sus paquetes de billetera móvil y de escritorio para eliminar el uso de las bibliotecas de JavaScript a las que se dirige el código malicioso..
3. Amazon sufre infracciones de datos días antes del viernes negro
Justo unos días antes del día de compras más grande del año (bar China's Day's Day, por supuesto), Amazon sufrió una violación de datos..
“Lo contactamos para informarle que nuestro sitio web reveló inadvertidamente su nombre y dirección de correo electrónico debido a un error técnico. El problema ha sido solucionado. Esto no es el resultado de nada de lo que ha hecho, y no es necesario que cambie su contraseña ni realice ninguna otra acción..”
Es difícil calibrar los detalles exactos de la violación porque, bueno, Amazon no lo dice. Sin embargo, todos los usuarios de Amazon en los EE. UU., EE. UU., Corea del Sur y los Países Bajos informaron haber recibido un correo electrónico de Amazon sobre la violación, por lo que se trataba de un problema bastante global.
Los usuarios pueden consolarse, ya que se trataba de un problema técnico de Amazon que conducía a la violación de datos, en lugar de un ataque a Amazon. La divulgación de información no contiene ninguna información bancaria, tampoco.
Sin embargo, el mensaje de Amazon de que no hay necesidad de que los usuarios afectados cambien su contraseña es totalmente erróneo. Si ha sido afectado por la violación de datos de Amazon, cambie la contraseña de su cuenta.
4. Vulnerabilidades de autocifrado de Samsung y Crucial SSD
Los investigadores de seguridad descubrieron múltiples vulnerabilidades críticas en Samsung y cruciales SSD autocifrados. El equipo de investigación probó tres SSD cruciales y cuatro SSD de Samsung, encontrando problemas críticos con cada modelo probado.
Carlo Meijer y Bernard van Gastel, investigadores de seguridad de la Universidad de Radboud en los Países Bajos, identificaron vulnerabilidades [PDF] en la implementación de las unidades de seguridad ATA y TCG Opal, que son dos especificaciones para implementar el cifrado en SSD que usan cifrado basado en hardware.
Hay una variedad de problemas:
- La falta de enlace criptográfico entre la contraseña y la clave de cifrado de datos significa que un atacante puede desbloquear unidades modificando el proceso de validación de la contraseña.
- El Crucial MX300 tiene una contraseña maestra establecida por el fabricante; esta contraseña es una cadena vacía, por ejemplo, no hay una.
- Recuperación de las claves de cifrado de datos de Samsung mediante la explotación de la nivelación de desgaste SSD.
De manera desconcertante, los investigadores declararon que estas vulnerabilidades podrían aplicarse a otros modelos, así como a diferentes fabricantes de SSD..
¿Se pregunta cómo proteger sus unidades? A continuación le indicamos cómo proteger sus datos con la herramienta de encriptación de código abierto, VeraCrypt Cómo encriptar y proteger sus datos y archivos con VeraCrypt Cómo encriptar y proteger sus datos y archivos con VeraCrypt VeraCrypt es una herramienta gratuita de encriptación de código abierto que puede usar para cifrar y proteger sus valiosos datos personales en Windows. Lee mas .
5. Apple Pay Malvertising Campaign se dirige a los usuarios de iPhone
Los usuarios de iPhone son el objetivo de una campaña de publicidad maliciosa en curso que involucra a Apple Pay.
La campaña intenta redirigir y estafar a los usuarios de sus credenciales de Apple Pay utilizando dos ventanas emergentes de suplantación de identidad (phishing), con el ataque originado a través de una serie de periódicos y revistas premium cuando se accede a través de iOS.
El malware, conocido como PayLeak, ofrece a los usuarios de iPhone desprevenidos que hacen clic en el anuncio malicioso en un dominio registrado en China..
Cuando el usuario llega al dominio, el malware comprueba una serie de credenciales, incluido el movimiento del dispositivo, el tipo de dispositivo (Android o iPhone) y si el navegador del dispositivo es Linux x86_64, Win32 o MacIntel.
Además, el malware comprueba el dispositivo en busca de aplicaciones antivirus o antimalware..
Si se cumplen las condiciones correctas, los usuarios de Android son redirigidos a un sitio de phishing que afirma que el usuario ha ganado una tarjeta de regalo de Amazon.
Sin embargo, los usuarios de iPhone reciben dos ventanas emergentes. La primera es una alerta de que el iPhone necesita una actualización, mientras que la segunda informa al usuario de que su aplicación Apple Pay también necesita una actualización. La segunda alerta comparte la información de la tarjeta de crédito de Apple Pay con un servidor de control y comando remoto..
6. Un millón de relojes de seguimiento para niños son vulnerables.
Al menos un millón de relojes de seguimiento de niños con GPS se venden a padres llenos de vulnerabilidades.
La investigación de Pen Test Partners detalló una gran cantidad de problemas de seguridad con el extremadamente popular reloj de seguridad para niños MiSafe. Los relojes habilitados para GPS están diseñados para permitir a los padres rastrear la ubicación de sus hijos en todo momento.
Sin embargo, los investigadores de seguridad encontraron que se podía acceder a los números de ID del dispositivo y, por lo tanto, a la cuenta de usuario.
El acceso a la cuenta permitió al equipo de seguridad localizar al niño, ver una foto del niño, escuchar las conversaciones entre el niño y sus padres, o llamar o enviar mensajes remotos al propio niño.
“Nuestra investigación se llevó a cabo en relojes con la marca 'Misafes kids watcher' y parece afectar a hasta 30,000 relojes. Sin embargo, descubrimos que al menos otros 53 niños ven marcas de relojes afectadas por problemas de seguridad idénticos o casi idénticos..”
Las vulnerabilidades en los dispositivos inteligentes dirigidos a los niños no son un problema nuevo. Nuevos casos de piratas informáticos dirigidos a los juguetes conectados demuestran que siguen siendo inseguros Nuevos casos de piratas informáticos dirigidos a los juguetes conectados demuestran que siguen siendo inseguros Leer más. Sin embargo, sigue siendo preocupante..
“Entonces, ¿cómo comprar juguetes inteligentes seguros para sus hijos? Tu no,” dice Aaron Zander, ingeniero de TI en Hacker One. “Pero si tiene que hacerlo, no opte por las opciones más baratas e intente minimizar capacidades como video, Wi-Fi y Bluetooth. Además, si tiene un dispositivo y tiene una falla de seguridad, contacte a los representantes de su gobierno, escriba a sus organismos reguladores, hágalo un error, es la única manera de mejorarlo..”
Resumen de noticias de seguridad de noviembre
Esas son seis de las principales historias de seguridad de noviembre de 2018. Pero sucedieron muchas más; simplemente no tenemos espacio para enumerarlo todo en detalle. Aquí hay cinco historias de seguridad más interesantes que aparecieron el mes pasado:
- El subjefe japonés de estrategia de ciberseguridad reveló que nunca ha usado una computadora.
- Stuxnet de malware de estado-nación ataca instalaciones y organizaciones en Irán (de nuevo).
- Los piratas informáticos encuentran exploits de día cero en dispositivos iPhone X, Samsung Galaxy S9 y Xiaomi Mi6.
- Microsoft parchea un exploit de día cero de Windows utilizado en múltiples ataques por varios grupos de hacking.
- El spyware avanzado Pegasus se utiliza para apuntar a periodistas de investigación en México.
Otro torbellino de noticias de ciberseguridad. El mundo de la ciberseguridad está cambiando constantemente, y mantenerse al tanto de las últimas violaciones, malware y problemas de privacidad es una lucha.
Es por eso que reunimos las noticias más importantes y más interesantes para usted cada mes..
Vuelva a consultar a principios del próximo mes, el comienzo de un nuevo año, nada menos para su resumen de seguridad de diciembre de 2018. El próximo mes también verá el año de cierre de seguridad MakeUseOf 2018, también. Mientras tanto, consulte estos cinco consejos y trucos para proteger sus dispositivos inteligentes. 5 Consejos para proteger sus dispositivos inteligentes y dispositivos de IoT. 5 Consejos para proteger sus dispositivos inteligentes y dispositivos de Io. El hardware del hogar inteligente es parte de la Internet de las cosas, pero es muy seguro. ¿Está su red con estos dispositivos conectados? Lee mas .
Crédito de la imagen: Karlis Dambrans / Flickr
Obtenga más información sobre: Amazon, Apple Pay, Black Friday, Seguridad informática, Criptomoneda, Publicidad maliciosa, Violación de seguridad, Unidad de estado sólido, Juguetes.