CyberSecurity Pulse 2016-11-17

CyberSecurity Pulse 2016-11-17

“Do not be afraid to take a big step, a precipice hopping is not passed.”

Visión del analista

¡Facebook compra contraseñas en el mercado negro!

La semana pasada, Alex Stamos, actual CSO de Facebook comentó en el Web Summit 2016 celebrado en Portugal que construir una plataforma segura que usan 1300 millones de personales cada día no es tarea fácil. Menos aun teniendo en cuenta que, en sus propias palabras, «la reutilización de contraseñas es la principal causa de daño en Internet».CyberSecurity Pulse 2016-11-17En relación con esta amenaza, el propio Stamos ha declarado que su compañía está comprando contraseñas en el mercado negro con el objetivo de cruzarlas con las almacenadas en sus sistemas y así poder determinar qué cuentas de sus usuarios podrían estar comprometidas.

Sinceramente, tras analizar qué implica dicha medida de seguridad se nos ponen los pelos de punta sólo con pensar que pueden estar almacenando gigas y gigas de información tanto de sus usuarios como de los que no son ni clientes suyos, además de estar contribuyendo a financiar la actividad de ciberdelincuentes comprando bases de datos. Si realmente el problema es la reutilización de contraseñas, deberíamos comenzar replantearnos de una vez por todas el uso de otros sistemas de autenticación.

» Más información en The Hacker News


Noticias destacadas

La brecha de seguridad de AdultFriendFinder expone a 412 millones de usuarios

CyberSecurity Pulse 2016-11-17Más de 412 millones de cuentas de usuario han sido expuestas debido a que FriendFinder ha sido comprometido. La brecha incluye 20 años de datos históricos de clientes de seis bases de datos: Adultfriendfinder.com, Cams.com, Penthouse.com, Stripshow.com. ICams.com, y un dominio desconocido. De acuerdo con LeakedSource, es la mayor brecha ocurrida en 2016. El ataque coincide con la publicación por parte de un investigador de seguridad, conocido como Revolver, de un fallo de seguridad sobre la web AdultFriendFinder, y que si se explotaba con éxito podría permitir a un atacante remotamente ejecutar código malicioso. Sin embargo, no se sabe quién ha llevado a cabo este ataque. Cuando se le preguntó a Revolver, éste negó que estuviera detrás y culpó a un grupo de usuarios procedentes de un foro de hacking ruso.

» Más información en ZDNet

Una aplicación Android secretamente instalada que envía su información sin permiso

CyberSecurity Pulse 2016-11-17Esta semana, la empresa de seguridad Kryptowire ha identificado un firmware que estaría recogiendo información personal sensible de diferentes modelos de smartphones que utilizan Android. El fallo, inicialmente descubierto en el dispositivo BLU R1 HD, enviaba a servidores externos información relativa al cuerpo de los mensajes de texto, la lista de contactos, el histórico de llamadas, el IMSI o el IMEI del dispositivo. Blu Products, que achaca el incidente a un fallo de seguridad en una aplicación de terceros, facilita en su página web una guía para que los usuarios puedan verificar si sus dispositivos son o no vulnerables además de recoger el listado de modelos afectados que incluyen, además del R1 HD, Energy X Plus 2, Studio Touch, Advance 4.0 L2, Neo XL y Energy Diamond.

» Más información en Kryptowire y Blu Products


Noticias del resto de la semana

Los usuarios de Android tendrán que esperar para protegerse de Dirty Cow

Solo unas horas después de que Donald Trump ganara las elecciones presidenciales de Estados Unidos, un grupo conocido como Cozy Bear, APT29 y CozyDuke lanzó una ola de ataques a think tanks mediante una campaña de spear phishing con el objetivo de que las víctimas instalaran el malware PowerDuke que contenían los correos.

» Más información en The Hacker News

La armada estadounidense lanza el programa Hack the Army

Anunciado por el Secretario del Ejército Eric Fanning, el programa Hack the Army pide a los expertos en ciberseguridad que examinen y detecten defectos en la infraestructura de reclutamiento digital del Ejército. El programa se centra en los sitios de reclutamiento y bases de datos de información personal de los nuevos solicitantes y el personal existente del ejército.

» Más información en Wired

70 segundos para conseguir una shell con privilegios de root en Linux presionando la tecla Enter

Un hacker con poco más de un minuto podría saltarse el procedimiento de autenticación en algunos sistemas Linux simplemente manteniendo presionada la tecla Enter durante unos 70 segundos. En este sentido se concedería una shell con privilegios de root, lo que le permitiría obtener control remoto sobre la máquina Linux cifrada.

» Más información en The Hacker News


Otras noticias

El responsable de la fuga de información de TalkTalk tiene 17 años

» Más información en SC Magazine UK

El grupo OurMine compromete las cuentas de Mark Zuckerberg

» Más información en Security Affairs

Google implementa una red neuronal que traduce idiomas que no le han sido enseñados

» Más información en The Register


facebooktwitterlinkedinmail