Roban la información de tarjetas de crédito en Newegg a través de MageCart

Newegg acaba de anunciar que durante el último mes ha sido víctima de un ataque MageCart a través del cual han robado la información de las tarjetas de crédito de sus clientes. Este tipo de ataques no son nuevos, ya que empezaron hace años atacando CMS de código abierto, aunque últimamente se están dirigiendo a grandes compañías. MageCart es un tipo de ataque en el que se inyecta JavaScript malicioso a través de una librería externa comprometida o a través del compromiso de la propia web, en la que se altera una librería JavaScript.

Lo que hacen este tipo de códigos maliciosos es inyectar JavaScript que envía la información de las tarjetas de crédito a webs controladas por el atacante a través del post de los datos, de forma transparente al usuario final y sin que el propietario de la web se dé cuenta.

Bruce Schneier indica que debemos de reducir la innovación en los dispositivos conectados a Internet

Bruce Schneier indica que los gobiernos deben intervenir para obligar a las empresas a hacer de la seguridad una prioridad a la hora de desarrollar dispositivos conectados a Internet. Schneier hizo estas declaraciones en su nuevo libro titulado “Haz clic aquí para matar a todos“, que ya se encuentra a la venta. A continuación se puede ver un extracto de su entrevista con la revista del MIT “Technology Review”:

Entonces, ¿qué tenemos que hacer para que Internet sea más segura?

No hay una industria que mejore la seguridad o la protección sin que los gobiernos la obliguen a hacerlo. Una y otra vez, las empresas escatiman en seguridad hasta que se ven obligadas a tomarlo en serio. Necesitamos que el gobierno intensifique aquí una combinación de elementos dirigidos a las empresas que desarrollan dispositivos conectados a Internet. Esto incluye estándares flexibles, reglas rígidas y leyes de responsabilidad estrictas cuyas sanciones sean lo suficientemente grandes como para perjudicar seriamente los beneficios de una compañía.

¿Pero acaso cosas como las leyes de responsabilidad objetiva tienen un efecto de enfriamiento en la innovación?

Sí, enfriarán la innovación, ¡pero eso es lo que se necesita en este momento! El punto es que la innovación en el mundo de Internet puede matarte. Nos enfrentamos a la innovación en aspectos como desarrollo de fármacos, diseño de aviones y plantas de energía nuclear porque el costo de hacerlo mal es demasiado grande. Ya pasamos el punto en que necesitamos discutir la regulación versus la no regulación para los dispositivos conectados; tenemos que discutir la regulación inteligente versus la regulación estúpida.

Hay una tensión fundamental aquí, sin embargo, ¿no? A los gobiernos también les gusta explotar las vulnerabilidades de espionaje, el cumplimiento de la ley y otras actividades.

Los gobiernos son ciertamente cazadores furtivos y guardabosques. Creo que resolveremos esta tensión entre la ofensa y la defensa con el tiempo, pero va a ser un camino largo y difícil para llegar allí.

Una vulnerabilidad en una aplicación móvil de Air Canada afecta a 20.000 clientes

Ayer hablábamos de una fuga de datos en una cadena hotelera china. Hoy la fuga se produce en Air Canada, que indica que 20.000 clientes podrían tener sus datos comprometidos mediante una vulnerabilidad en la aplicación móvil de la compañía. La información que habría sido vulnerada es el nombre del usuario, la dirección de correo electrónico y el número de teléfono. Estos 20.000 usuarios representan el 1% de los 1,7 millones de cuentas que la compañía ha bloqueado como medida de precaución hasta que los clientes cambien sus contraseñas.

Los datos de 130 millones de clientes chinos de una cadena hotelera vendidos en un foro de la dark web

Un hacker está vendiendo en un foro chino de la dark web los registros de 130 millones de clientes chinos de una cadena hotelera que gestiona 13 marcas a lo largo de 5.162 hoteles en 1.119 ciudades chinas.

La base de datos, con un precio de 8 bitcoins, contiene información tan sensible como los números de las tarjetas de crédito, teléfonos móviles, usuarios y contraseñas. La causa probable de esta fuga de información es una copia de la base de datos que había sido subida por error a GitHub por parte del equipo de desarrollo de la cadena hotelera.

Una nueva vulnerabilidad afecta a todas las versiones de OpenSSH publicadas en los últimos 20 años

Investigadores de seguridad acaban de descubrir una vulnerabilidad que afecta a todas las versiones de OpenSSH publicadas en los últimos 20 años, al analizar un commit de OpenSSH donde precisamente se resolvía este problema.

La vulnerabilidad permite enumerar los usuarios con acceso al sistema, lo que de por si no es un problema pero sí que permite en un primer paso descubrir usuarios válidos del servidor SSH para, posteriormente, realizar ataques de fuerza bruta o de diccionario.

Intel actualiza la licencia de microcódigo que prohibía usarla en comparativas

Ayer comentábamos que Intel había publicado un parche de seguridad de microcódigo pero no permitía usarlo en comparativas.  Este hecho causó bastante polémica al no ser aceptado por Debian. Pues poco ha durado esta restricción, ya que Intel ha eliminado esta restricción. Así lo ha anunciado a través de Twitter Imad Sousou, vicepresidente corporativo y gerente general del Centro de tecnología de código abierto de Intel. La nueva licencia está disponible en este enlace.

 

Intel publica un parche de seguridad de microcódigo pero no permite usarlo en comparativas

Intel acaba de publicar un parche de seguridad de microcódigo para una de las vulnerabilidades encontradas recientemente. Pero Debian no va a publicarla dentro de sus actualizaciones, debido a una modificación en la licencia de microcódigo, que dentro de las limitaciones del microcódigo indica que no se pueden publicar pruebas de rendimiento o comparativas con este microcódigo.

Este tipo de actualizaciones han sido criticadas por los usuarios por empeorar el rendimiento, como el caso que comentamos en el que Chrome usa entre un 10 y un 13% más de RAM con el parche de Meltdown y Spectre, por lo que puede que este sea uno de los puntos por los que Intel quiere evitar este tipo de pruebas o comparativas.

El Condado de Los Ángeles podrá usar máquinas de votación con software libre

El Condado de Los Ángeles acaba de recibir por parte de Estado de California la aprobación a un nuevo sistema para de votación que usa software de código abierto desarrollado por funcionarios locales y por expertos en diseño. Aunque el sistema sea código abierto, otra cosa es lo que finalmente se instale en las múltiples capas de un sistema de votación, ya que podríamos tener sistemas de código abierto pero con software de acceso remoto, como el caso que ya comentamos de “Software de acceso remoto en máquinas de votación de unos de los principales fabricantes“.

Quién está respondiendo mis consultas DNS. Interceptación de las peticiones de resolución DNS

Las consultas DNS se gestionan mediante peticiones recursivas. El usuario realiza una petición a un servidor y este, si no dispone de la información, la envía a otro y así hasta obtener la información y devolvérsela al cliente. Muchos usuarios utilizan los servidores proporcionados por sus proveedores de servicios (ISP), aunque cada vez es más frecuente usar servidores DNS como los de Google (8.8.8.8 o 8.8.4.4) o el de Cloudflare (1.1.1.1). En cualquier caso estamos confiando en que esta comunicación, no cifrada ( DNSSEC y DNS-over-HTTPS aún no son usados de forma masiva), que puede ser interceptada, devolviendo una dirección IP incorrecta. Un estudio presentado en la USENIX Security Symposium, llevado a cabo por universidades de China y de Estados Unidos, en el que analizaron el tráfico de casi 150.000 IP residenciales y móviles, concluyeron que se intercepta el DNS en un 8,5% de los sistemas autónomos (AS).

La cartera de criptomonedas inhackeable de John McAfee ha vuelto a ser hackeada

Recientemente el controvertido creador de antivirus John McAfee presentó un cartera de criptomonedas que dijo que era inhackeable y ofreció 100.000 dólares a quien lo consiguiera.

Para ello, tras comprar el dispositivo y precargarlo con 50 dólares en criptomonedas, había que ser capaz de extraer el dinero saltándose la protección de la cartera.

Lo primero que consiguió un hacker fue acceso root e instalar el DOOM en el dispositivo. Pero esto no era suficiente, ya que las criptomonedas seguían aseguradas.

Pero un grupo de investigadores ha logrado enviar transacciones firmadas con el dispositivo, con lo que ha conseguido saltar las protecciones de la cartera al interceptar las comunicaciones entre la cartera y Bitfi.