Brecha de datos en Instagram; 50 millones de registros expuestos en base de datos
Especialistas en seguridad de aplicaciones web reportaron el hallazgo de una base de datos masiva expuesta en línea que contenía datos de contacto de millones de “influencers”, celebridades y cuentas comerciales de Instagram. Los expertos mencionan que la base de datos estaba alojada en Amazon Web Services (AWS) y estaba expuesta sin ninguna medida de autenticación, por lo que cualquier usuario podría acceder a la información expuesta. Al ser detectada, la base de datos contaba con casi 50 millones de registros, aunque los expertos reportan que el volumen del archivo crecía constantemente. Después de una revisión preliminar, se informó que la base de datos contenía información de los influencers de esta red social, como: Biografía, foto de perfil, datos de la cuenta (verificación, número de seguidores), dirección email y número de teléfono. Continúa navegando en https://noticiasseguridad.com/.
Los contenedores Docker pueden ser la próxima gran brecha de seguridad: el 20% de los más populares están mal protegidos
Los contenedores Docker pueden ser la próxima gran brecha de seguridad: el 20% de los más populares están mal protegidos. La virtualización por contenedores está ganando mucha popularidad entre los administradores de sistemas. Estos contenedores nos permiten poner en marcha un determinado servicio (por ejemplo, un servidor web, o un sistema de bases de datos) virtualizando un sistema operativo (Linux) muy básico con los recursos mínimos para mover dicho servicio, y nada más.
Cada contenedor se diseña pensando especialmente en desempeñar una tarea concreta, evitando conflictos entre servicios y ahorrando la mayor cantidad de recursos posible. Docker es una de las plataformas más populares para la virtualización por contenedores, y también si no tenemos cuidado puede ser de las más peligrosas. La mayoría de los contenedores de Docker montan una distribución Linux mínima (concretamente Alpine Linux) sobre la cual instalan un determinado servidor y sus dependencias. Esta configuración se empaqueta y se sube a la red de manera que cualquiera pueda descargar el contenedor y, con un par de clics, ponerlo en funcionamiento en cualquier equipo, servidor o infraestructura, ya que no existen restricciones en cuanto al hardware. Continúa navegando en https://www.redeszone.net/
Desmantelan la red cibercriminal del malware GozNym
La Europol ha definido como una "operación internacional sin precedentes" en la que han participado las autoridades policiales de Estados Unidos, Alemania, Bulgaria, Georgia, Moldavia y Ucrania. Un despliegue de dimensiones épicas que ha dado al traste con la red criminal detrás del malware GozNym, la cual intentó robar alrededor de 100 millones de dólares a más de 41.000 víctimas, principalmente empresas y sus instituciones financieras. Desde su descubrimiento en 2016, este troyano bancario híbrido se ha extendido en Europa y ha comenzado a acosar a los clientes bancarios en Polonia con ataques de redirección.
Según se informa, el troyano bancario comenzó a apuntar a bancos en Alemania y Estados Unidos. Este grupo delictivo ejemplificó, a juicio de los cuerpos de seguridad, el concepto de "delito cibernético como servicio", ya que contaba con diferentes servicios delictivos dentro de su campo de actuación como alojamiento web a prueba de balas, redes de mulas de dinero, crypters, spammers, programadores, coordinadores y personal de soporte técnico. Al parecer, los diez acusados publicaron sus habilidades técnicas y servicios especializados en foros clandestinos que hablan ruso. Continúa navegando en https://www.europol.europa.eu/
Adolescente que hackeó a Apple es perdonado y no irá a prisión
Autoridades australianas decidieron perdonar los cargos contra el adolescente que accedió de forma ilegal a las redes de Apple y descargó una cantidad considerable de datos de la compañía, con lo que ha evitado ir a prisión; además, expertos en seguridad web le han recomendado que, en el futuro, utilice sus habilidades de hacking de forma ética.
El joven experto en hacking, cuyo nombre no será revelado por la policía, se declaró culpable del incidente, ocurrido en 2015, cuando sólo tenía 13 años de edad. El hacker, ahora de 17 años, fue sentenciado por la Corte Juvenil de Adelaide, Australia, por múltiples cargos de hacking malicioso. Acorde a los expertos en seguridad web el hacker, en complicidad con otra persona, accedieron en repetidas ocasiones a los sistemas de Apple y descargaron un total de 90 GB de datos confidenciales de la compañía; la información extraída fue encontrada en la laptop del hacker. “El adolescente empleó sus avanzados conocimientos de hacking para crear credenciales de acceso falsas e ingresar a los sistemas de Apple haciéndose pasar por un empleado”, mencionó la fiscalía durante la última audiencia. Continúa navegando en https://noticiasseguridad.com/.
Filtran 139 millones de cuentas de Canva
Canva es un sitio web de herramientas de diseño gráfico y composición de imágenes, fundado en 2012. Canva es una herramienta online, accesible desde dispositivos con navegadores completos. El sitio web de Canva se ha convertido en uno de los favoritos para crear sitios web rápidos, diseñar logotipos o campañas de marketing llamativas, etc. Una brecha de seguridad no revelada en los servidores de Canva fue aprovechada para copiar las bases de datos de la empresa. La autoría de estos hechos ha sido reclamada por un pirata informático bajo el nickname "GnosticPlayers", quien asevera haberse hecho con los datos de un total de aproximadamente 139 millones de usuarios durante la intrusión. Según declaraciones realizadas por el propio pirata a Catalin Cimpanu de ZDNet, la intrusión tuvo lugar el viernes 24 de mayo por la mañana y habría conseguido descargar datos desde el 17 de mayo antes de que la empresa detectase la violación de seguridad y reaccionase cortando el acceso al servidor de bases de datos.
Los datos robados incluirían información de carácter personal y privado como nombres de usuarios, nombres reales, direcciones de correo electrónico, e información de residencia entre otros. También se han obtenido los hashes de las contraseñas de casi 61 millones de usuarios, aunque estos utilizan el algoritmo bcrypt que es considerado actualmente como uno de los más seguros. Continúa navegando en https://unaaldia.hispasec.com/.
Si estás interesado en noticias de ciberseguridad, te recomendamos que accedas a nuestro foro de seguridad.
¡Hasta la próxima semana!
