Roban la información de tarjetas de crédito en Newegg a través de MageCart

Newegg acaba de anunciar que durante el último mes ha sido víctima de un ataque MageCart a través del cual han robado la información de las tarjetas de crédito de sus clientes. Este tipo de ataques no son nuevos, ya que empezaron hace años atacando CMS de código abierto, aunque últimamente se están dirigiendo a grandes compañías. MageCart es un tipo de ataque en el que se inyecta JavaScript malicioso a través de una librería externa comprometida o a través del compromiso de la propia web, en la que se altera una librería JavaScript.

Lo que hacen este tipo de códigos maliciosos es inyectar JavaScript que envía la información de las tarjetas de crédito a webs controladas por el atacante a través del post de los datos, de forma transparente al usuario final y sin que el propietario de la web se dé cuenta.

Bruce Schneier indica que debemos de reducir la innovación en los dispositivos conectados a Internet

Bruce Schneier indica que los gobiernos deben intervenir para obligar a las empresas a hacer de la seguridad una prioridad a la hora de desarrollar dispositivos conectados a Internet. Schneier hizo estas declaraciones en su nuevo libro titulado “Haz clic aquí para matar a todos“, que ya se encuentra a la venta. A continuación se puede ver un extracto de su entrevista con la revista del MIT “Technology Review”:

Entonces, ¿qué tenemos que hacer para que Internet sea más segura?

No hay una industria que mejore la seguridad o la protección sin que los gobiernos la obliguen a hacerlo. Una y otra vez, las empresas escatiman en seguridad hasta que se ven obligadas a tomarlo en serio. Necesitamos que el gobierno intensifique aquí una combinación de elementos dirigidos a las empresas que desarrollan dispositivos conectados a Internet. Esto incluye estándares flexibles, reglas rígidas y leyes de responsabilidad estrictas cuyas sanciones sean lo suficientemente grandes como para perjudicar seriamente los beneficios de una compañía.

¿Pero acaso cosas como las leyes de responsabilidad objetiva tienen un efecto de enfriamiento en la innovación?

Sí, enfriarán la innovación, ¡pero eso es lo que se necesita en este momento! El punto es que la innovación en el mundo de Internet puede matarte. Nos enfrentamos a la innovación en aspectos como desarrollo de fármacos, diseño de aviones y plantas de energía nuclear porque el costo de hacerlo mal es demasiado grande. Ya pasamos el punto en que necesitamos discutir la regulación versus la no regulación para los dispositivos conectados; tenemos que discutir la regulación inteligente versus la regulación estúpida.

Hay una tensión fundamental aquí, sin embargo, ¿no? A los gobiernos también les gusta explotar las vulnerabilidades de espionaje, el cumplimiento de la ley y otras actividades.

Los gobiernos son ciertamente cazadores furtivos y guardabosques. Creo que resolveremos esta tensión entre la ofensa y la defensa con el tiempo, pero va a ser un camino largo y difícil para llegar allí.

Un pirata informático sentenciado a 8 meses de prisión por su participación en la fuga de fotos de celebridades de iCloud

Un pirata informático acaba de ser sentenciado a 8 meses de prisión por su participación en los hechos que condujeron a la difusión pública de fotos de celebridades a través de un acceso ilegítimo a sus cuentas de iCloud. El pirata se declaró culpable a principios de año de enviar correos falsos a las víctimas, haciéndose pasar por personal de Apple para obtener sus usuarios y contraseñas de acceso a iCloud.

 

Una vulnerabilidad en una aplicación móvil de Air Canada afecta a 20.000 clientes

Ayer hablábamos de una fuga de datos en una cadena hotelera china. Hoy la fuga se produce en Air Canada, que indica que 20.000 clientes podrían tener sus datos comprometidos mediante una vulnerabilidad en la aplicación móvil de la compañía. La información que habría sido vulnerada es el nombre del usuario, la dirección de correo electrónico y el número de teléfono. Estos 20.000 usuarios representan el 1% de los 1,7 millones de cuentas que la compañía ha bloqueado como medida de precaución hasta que los clientes cambien sus contraseñas.

Los datos de 130 millones de clientes chinos de una cadena hotelera vendidos en un foro de la dark web

Un hacker está vendiendo en un foro chino de la dark web los registros de 130 millones de clientes chinos de una cadena hotelera que gestiona 13 marcas a lo largo de 5.162 hoteles en 1.119 ciudades chinas.

La base de datos, con un precio de 8 bitcoins, contiene información tan sensible como los números de las tarjetas de crédito, teléfonos móviles, usuarios y contraseñas. La causa probable de esta fuga de información es una copia de la base de datos que había sido subida por error a GitHub por parte del equipo de desarrollo de la cadena hotelera.

Una nueva vulnerabilidad afecta a todas las versiones de OpenSSH publicadas en los últimos 20 años

Investigadores de seguridad acaban de descubrir una vulnerabilidad que afecta a todas las versiones de OpenSSH publicadas en los últimos 20 años, al analizar un commit de OpenSSH donde precisamente se resolvía este problema.

La vulnerabilidad permite enumerar los usuarios con acceso al sistema, lo que de por si no es un problema pero sí que permite en un primer paso descubrir usuarios válidos del servidor SSH para, posteriormente, realizar ataques de fuerza bruta o de diccionario.

Intel publica un parche de seguridad de microcódigo pero no permite usarlo en comparativas

Intel acaba de publicar un parche de seguridad de microcódigo para una de las vulnerabilidades encontradas recientemente. Pero Debian no va a publicarla dentro de sus actualizaciones, debido a una modificación en la licencia de microcódigo, que dentro de las limitaciones del microcódigo indica que no se pueden publicar pruebas de rendimiento o comparativas con este microcódigo.

Este tipo de actualizaciones han sido criticadas por los usuarios por empeorar el rendimiento, como el caso que comentamos en el que Chrome usa entre un 10 y un 13% más de RAM con el parche de Meltdown y Spectre, por lo que puede que este sea uno de los puntos por los que Intel quiere evitar este tipo de pruebas o comparativas.

Quién está respondiendo mis consultas DNS. Interceptación de las peticiones de resolución DNS

Las consultas DNS se gestionan mediante peticiones recursivas. El usuario realiza una petición a un servidor y este, si no dispone de la información, la envía a otro y así hasta obtener la información y devolvérsela al cliente. Muchos usuarios utilizan los servidores proporcionados por sus proveedores de servicios (ISP), aunque cada vez es más frecuente usar servidores DNS como los de Google (8.8.8.8 o 8.8.4.4) o el de Cloudflare (1.1.1.1). En cualquier caso estamos confiando en que esta comunicación, no cifrada ( DNSSEC y DNS-over-HTTPS aún no son usados de forma masiva), que puede ser interceptada, devolviendo una dirección IP incorrecta. Un estudio presentado en la USENIX Security Symposium, llevado a cabo por universidades de China y de Estados Unidos, en el que analizaron el tráfico de casi 150.000 IP residenciales y móviles, concluyeron que se intercepta el DNS en un 8,5% de los sistemas autónomos (AS).

Intel publica tres nuevas vulnerabilidades en sus chips

Intel acaba de publicar tres nuevas vulnerabilidades que pueden ser explotadas para obtener acceso a ciertos datos de la memoria del equipo. Este fallo afecta a los procesadores Core y Xeon y, según indica el fabricante, no existe ningún tipo de información que indique que estas vulnerabilidades han sido usadas en exploits. Intel ha publicado actualizaciones para mitigar esta vulnerabilidad, que se añade a una lista cada vez mayor de bugs en los microprocesadores del fabricante americano.

Biometría de comportamiento: los bancos y el comercio electrónico registra cómo escribes o tocas la pantalla

Ante las grandes fugas de contraseñas que se producen constantemente, los bancos y los comercios electrónicos están usando nuevas formas de autentificar a sus clientes. Una de ellas es la biometría del comportamiento, mediante la cual registran cómo sus clientes usan el teclado y el ratón en los equipos de escritorio o portátiles y cómo interaccionan con el dispositivo en el caso de los teléfonos móviles o de las tablets. Las siguientes veces que el cliente acceda a su negocio, además de seguir registrando esta información, la comparan con los datos antiguos para poder detectar posibles accesos fraudulentos.

Este tipo de sistemas registra datos tan variados como son el ángulo en el que se sostiene el teléfono, la presión que se aplica o la velocidad en el scroll en teléfonos y tablets o la velocidad con la que se teclea, las teclas usadas para introducir los caracteres numéricos o la rapidez con la que se mueve el ratón en equipos de escritorio o portátiles.

Esta tecnología plantea problemas de privacidad, ya que los usuarios casi nunca son conscientes de estar siendo registrados, así como falsos positivos, ya que no usamos el dispositivo de igual forma en el trabajo que tumbados en el sofá de nuestra casa. A pesar de esto, el nivel de exactitud es del 99%, según indican los fabricantes de este tipo de software.