Bitácora de Ciberseguridad

Seguridad de la información y ciberseguridad

  • Suscríbete al Podcast
  • Episodios
  • Política de privacidad

Hacks 2018

8 de enero de 2019 por BitaCiber 5 comentarios

https://www.bitacoradeciberseguridad.com/wp-content/uploads/2020/04/BCS032-Hacks-2018.mp3

Podcast: Reproducir en una nueva ventana | Descargar (Duración: 1:26:14 — 79.0MB)


Como cada año nuevo, el episodio de enero lo dedicamos a algunas noticias de hacks, leaks y problemas de ciberseguridad de distinto tipo que han tenido lugar durante el año previo. No están todas las noticias del año, sólo algunas de las que hemos considerado más representativas. Al fin y al cabo, se trata de hablar sobre seguridad de la información y ciberseguridad.

Carátula del episodio 32 de Bitácora de Ciberseguridad - Hacks 2018. El fondo es una tubería de la que se filtran chorros de agua a presión. Sobreimpreso el título del episodio y del podcast.
Hacks 2018

Este episodio número 32 viene presentado por Chema Hoyos (@Chema_Hoyos), del podcast EnSerie. Se trata de un programa en el que se analizan las novedades seriéfilas de las plataformas de streaming más populares. Anímate y deja que Chema, Pedro, Federico, entre otros seriéfilos, te cuenten qué hay de nuevo.

Hacks 2018

Meltdown y Spectre

Las vulnerabilidades de los procesadores modernos

  • Incibe-Cert – Meltdown y Spectre: Las vulnerabilidades de los procesadores modernos.
  • Episodio sobre Melddown y Spectre en Bitácora de Ciberseguridad.

Datos de Fedex filtrados

Datos de clientes de Bongo International LLC, adquirida por FedEx en 2014, alojados en Amazon S3 quedan al descubierto años después.

  • https://kromtech.com/blog/security-center/fedex-customer-records-exposed

Filtrada la base de datos del DNI de la India

Incluye datos de identificación, biométricos, bancarios… El gobierno lo niega pero las pruebas son evidentes.

  • https://www.zdnet.com/article/another-data-leak-hits-india-aadhaar-biometric-database/

Antivirus falsos para Android

Una investigación de ESET y una ampliación llevada a cabo por Lukas Stefanko muestran decenas de supuestos antivirus que, por lo general, son fraudes.

  • https://twitter.com/LukasStefanko/status/1067828960623558656
  • https://www.welivesecurity.com/2018/04/05/google-play-ad-slingers/

Contraseñas de usuarios en el log de Twitter

Un fallo de diseño de Twitter habría dejado expuestas las contraseñas de sus usuarios en texto plano en archivos de registro.

  • https://blog.twitter.com/official/en_us/topics/company/2018/keeping-your-account-secure.html

Datos de clientes de T-Mobile

Un bug en los sistemas del operador telefónico T-Mobile permite que cualquiera pudiese ver los datos de sus clientes

  • https://www.zdnet.com/article/tmobile-bug-let-anyone-see-any-customers-account-details/

Bases de datos de Firebase mal configuradas

Miles de aplicaciones tanto de Android como de iOS han filtrado datos de usuarios al usar con una configuración in incorrecta las bases de datos Firebase de Google, que es extremadamente popular como backend de programadores para Android.

  • https://www.bleepingcomputer.com/news/security/thousands-of-apps-leak-sensitive-data-via-misconfigured-firebase-backends/

Polar muestra bases militares secretas

Filtrado de localizaciones de bases militares debido a la publicación de localizaciones de usuarios de la pulsera de fitness de la empresa Polar:

  • https://www.theverge.com/2018/7/8/17546224/polar-flow-smart-fitness-company-privacy-tracking-security
  • https://www.zdnet.com/article/fitness-app-polar-exposed-locations-of-spies-and-military-personnel/

TSMC atacada por ransomware

Un ransomware cierra varias fábricas de TSMC, uno de los fabricantes de iPhone, al integrar en sus sistemas un equipo infectado. La infección pudo extenderse a miles de equipos causando una parada de emergencia en las factorías de la compañía.

  • https://www.incibe-cert.es/alerta-temprana/bitacora-ciberseguridad/virus-cierra-varias-fabricas-tsmc-uno-los-fabricantes-iphone

Robados datos de 380.000 clientes de British Airways

Un grupo cibercriminal modifica una librería de javascript de la web de reservas de la aerolínea y captura los datos de pago y personales de los clientes

  • https://www.incibe-cert.es/alerta-temprana/bitacora-ciberseguridad/robados-datos-380000-clientes-british-airways

Se adelanta el cierre de Google+ por otro fallo

Google+ anuncia su cierre e informa de la exposición de 500.000 cuentas de usuarios.

  • https://www.incibe-cert.es/alerta-temprana/bitacora-ciberseguridad/google-anuncia-su-cierre-e-informa-exposicion-500000-cuentas

Filtración de clientes de la cadena hotelera Marriot

Posiblemente se trate de un ciberataque APT desarrollado por un actor con propósitos de inteligencia militar. Los datos no se han filtrado públicamente en la dark web, lo que favorece la hipótesis anterior.

  • https://www.nytimes.com/2018/11/30/business/marriott-data-breach.html

1ª Sanción basada en el RGPD

Una noticia que conocemos gracias a Javier Pérez, en el grupo de Telegram de Securizando: primera sanción fundamentada en el reglamento general de protección de datos.

  • https://www.infosecurity-magazine.com/news/german-regulator-fines-firm-for/

Amazon envía 1.700 grabaciones de audio de un cliente de Amazon Echo a otro cliente

Tal y como suena. Un cliente recibe grabaciones de Echo aunque no es usuario del servicio y la compañía le ignora hasta que una revista investiga las grabaciones e identifica al propietario de las mismas.

  • https://unaaldia.hispasec.com/2018/12/amazon-envia-por-error-1-700-grabaciones-de-alexa-de-otro-cliente.html

WordPress infectados atacando otros WordPress

Un fallo de seguridad de XML-RPC de WordPress permitía la propagación de un ataque de forma automatizada de una instancia a otra del CMS.

  • https://www.elladodelmal.com/2018/12/battle-royale-wordpress-infectados.html

Routers Livebox Orange filtran credenciales de acceso a la red WiFi

Los datos se encuentran disponibles en archivos accesibles por HTTP desde la interfaz WAN.

  • https://www.adslzone.net/2018/12/24/routers-livebox-vulnerabilidad-wifi/
  • https://www.incibe-cert.es/alerta-temprana/avisos-seguridad/fuga-credenciales-wi-fi-routers-livebox-orange

Las 100 peores contraseñas del año

Como es costumbre, cada año se publican las peores contraseñas. Bien es cierto que se trata de las contraseñas más frecuentemente filtradas. Por algo será.

  • https://www.teamsid.com/splashdatas-top-100-worst-passwords-of-2018/

El consejo del día

En Information is beautiful podemos encontrar un gráfico de los leaks más famosos considerando distintos factores como relevancia mediática y cantidad de datos filtrados. Se puede filtrar por periodo, sector, etcétera. Un recurso muy interesante para darnos cuenta de que no existe la seguridad 100%. El diagrama sólo muestra filtraciones que tengan más de 30.000 datos. imaginemos cuántas más hay. El título es: World’s Biggest Data Breaches & Hacks, o lo que es lo mismo, Las mayores brechas de datos y hacks del mundo.


La entrada «Hacks 2018» se publicó originalmente en AVpodcast.

Archivado en:Podcast - Bitácora de Ciberseguridad Etiquetado con:Amazon, breach, filtración, GDPR, Google, hacks, leaks, Marriot

Comentarios

  1. Carlos dice

    22 de enero de 2019 en 08:36

    Buenos dias.
    Les envio este comentario primero para felicitarle por su podscats, que para un informatico que le gusta el tema de la seguridad informatica os sigue atentamente.

    Segundo, comentaros no se como llamarlo o como actuar (si puedo hacer algo), que os expongo en el siguiente texto.

    Comprando unos billetes de autobus por web a una empresa, resulta que hace tiempo me di de alta, pero no recordaba la password. Por ello mediante su web solicito un cambio de password. Este me envia un mail con una peticion de cambio. En esta pagina me muestra todos mis datos personales y la opción de cambio de password (esto ya me resulto raro, por lo general suele salir una pagina donde solo se realiza el cambio de password), intento cambiar la password , pero me da error de usuario. Lo intento modificar nuevamente y sigue fallandome.

    En la parte superior de la misma pagina web, me muestra un telefono de información y ayuda, por lo que me pongo en contacto con ellos.

    Procedo a llamarles y me piden mi numero de DNI y que me quedo sorprendido cuando la operadora me dice el usuario y password por telefono de mi cuenta. Me quedo tan sorpendido que intento acceder a mi cuenta y los datos son correctos. Intento cambiar la password y lo consigo. (el usuario de acceso no es el mail que intentaba modificar la password la primera vez, es un usuario distinto, entiendo que por eso es el error).

    Despues de todo esto logicamente no me quedo tranquilo sabiendo que mis datos personales lo puedes conseguir tan facilmente ¿Puedo hacer algo?.

    Nuevamente felicidades por vuestro trabajo y recibir un cordial saludo.

    Responder
    • Sergio R.-Solís dice

      22 de enero de 2019 en 09:40

      Hola Carlos,
      Ante todo, gracias por tus palabras. Lo más sencillo que puedes hacer es darte de baja de esa plataforma, aunque visto como actúan, es probable que eso no garantice que borren tus datos. Si quieres puedes solicitar oficialmente el derecho de supresión de tus datos enviándoles el formulario que puedes descargarte de la página de la Agencia Española de Protección de datos (https://www.aepd.es/reglamento/derechos/index.html). La idea es:
      1. Solicitar derecho de acceso, también el formulario PDF en ese enlace para ver lo que tienen sobre ti
      2. Solicitar baja en el servicio
      3. Solicitar derecho de supresión puesto que, como has causado baja, no necesitan tus datos para nada salvo las facturas que te hayan emitido hasta el momento.
      4. Si no cumplen alguno de los pasos, denunciar ante la AEPD presentandoles los requerimientos que les has hecho y que no han cumplido (emails, PDFs, fechas de envío, etc).
      Como alternativa, puedes recopilar el proceso que nos cuentas y denunciar la situación directametne ante la AEPD. A ti no te reporta ningún beneficio especial ninguna de las opciones ya que si la AEPD sanciona a la compañía, no es para resarcirte a ti, es por la mera sanción. Además, tu necesitrás seguir comprando billetes para viajar.
      En resumen. Estas opciones que serían las canónicas, resultan relativamente poco pragmáticas así que quizá lo mejor sea ejecutar el derecho de acceso, por saber qué tienen, cómo lo dan, si dan todo lo que deben, etc. Después, si el derecho de acceso no se respeta, entonces sí deberías reclamar el amparo de la AEPD. Por último, e independientemente de todo lo anterior, deberías presentar una reclamación formal a la empresa, con su hoja de reclamaciones legal (asegúrate de que sea una hoja de reclamaciones legal, no una de sugerencias) para que quede constancia de su mala praxis a la hora de gestionar los datos personales y la gestión de credenciales de usuario ya que están dando los datos de un usuario a cualquiera que pida cambiar una contraseña, lo cual es un fallo de seguridad tremendamente grave.
      Esperamos haberte dado alguna idea. Coméntanos cómo procedes y qué tal resulta y así quizá podamos comentarlo en un episodio porque es muy interesante.
      Un abrazo y gracias de nuevo por tus palabras.

      Responder
      • Carlos dice

        22 de enero de 2019 en 21:02

        Gracias por vuestra información.

        Darme de baja no puedo, ya que suelo comprar billetes en esta plataforma, ya que me ahorro tiempo y desplazamiento.

        Creo que lo primero que puedo hacer es escribir una hoja de reclamaciones y exponer lo acontecido. Con lo que me contesten, ya tomo alguna decision mas.

        Muchas gracias y animo para continuar el podcast, me encanta.

        Un cordial saludo.

        Responder
  2. John dice

    11 de enero de 2021 en 15:12

    Llevo cierto tiempo recibiendo asesoría profesional de parte de una compañía bastante confiable, y debo decir que lo que aprendo en su podcast es bastante acertado y siempre va en perfecta conjunción con lo que aprendo con ellos.
    Su podcast me resulta bastante útil en ese sentido, pues siempre me da información muy, muy acertada.
    Buen trabajo!

    Responder
    • Sergio R.-Solís dice

      11 de enero de 2021 en 16:17

      Hola John, nos alegra mucho escuchar palabras tan positivas y que tus consultores sean gente proactiva y que te asesoren bien. Un saludo!

      Responder

Responder a Sergio R.-Solís Cancelar la respuesta

Tu dirección de correo electrónico no será publicada.

TODOS LOS EPISODIOS

Suscríbete al podcast

Apple Podcasts Google Podcasts Spotify Android RSS

Sobre el podcast

Bitácora de Ciberseguridad es un podcast creado originalmente por Sergio R.-Solís y Raúl Fernández y producido por Proyecto Albedo.

La licencia del podcast, no extensible al resto de esta web, es Creative Commons 4.0 BY-NC-SA.

Redes sociales

  • Correo electrónico
  • Facebook
  • RSS
  • Twitter

Qué es Bitácora de Ciberseguridad

Bitácora de Ciberseguridad es el programa en el que tratamos la seguridad de la información desde un punto de vista práctico y asequible para concienciar sobre los peligros de no proteger adecuadamente nuestros recursos informáticos e información.

Producido por Proyecto Albedo y presentado por Sergio R.-Solís y Raúl Fernández.

Un podcast 100% libre de virus y para todos los públicos.

Métodos de contacto

  • Twitter: @BitaCiber
  • Canal de Telegram: t.me/bitaciber
  • Facebook: Bitácora de Ciberseguridad
  • Email: info [@] bitacoradeciberseguridad [.] com
  • Web: www.bitacoradeciberseguridad.com
  • Productor: Proyecto Albedo

Política de privacidad

Es muy sencilla porque queremos respetar tu privacidad, pero tienes nuestra política de privacidad a tu disposición.

Suscríbete al podcast

Apple PodcastsGoogle PodcastsSpotifyAndroidRSS

Copyright © 2021 · Proyecto Albedo · Iniciar sesión