sábado, 18 de febrero de 2023
GoDaddy revela brecha de datos y violación de seguridad de varios años que causa instalación de malware y robo de código fuente
El gigante del alojamiento web (hosting) GoDaddy informó que sufrió una brecha de datos en la que atacantes desconocidos robaron el código fuente de sus servidores e instalaron malware en estos después de violar su entorno de alojamiento compartido cPanel en un ataque de varios años.
Si bien GoDaddy descubrió la brecha de seguridad luego de que múltiples clientes reportaran a principios de diciembre de 2022 de que sus sitios se estaban utilizando para redirigir a dominios aleatorios, los atacantes tuvieron acceso a la red de la empresa durante varios años.
"Según nuestra investigación, creemos que estos incidentes son parte de una campaña de varios años por parte de un sofisticado grupo de actores de amenazas que, entre otras cosas, instaló malware en nuestros sistemas y obtuvo fragmentos de código relacionados con algunos servicios dentro de GoDaddy", dijo la firma de hosting.
La compañía afirmó que las brechas anteriores reveladas en noviembre de 2021 y marzo de 2020 también están vinculadas a esta campaña de varios años.
El incidente de noviembre de 2021 condujo a una violación de datos que afectó a 1,2 millones de clientes con WordPress después de que los atacantes violaran el entorno de alojamiento de WordPress de GoDaddy utilizando una contraseña comprometida.
Obtuvieron acceso a las direcciones de correo electrónico de todos los clientes afectados, sus contraseñas de administrador de WordPress, credenciales de base de datos y sFTP, y claves privadas SSL de un subconjunto de clientes activos.
Después de la filtración de marzo de 2020, GoDaddy alertó a 28.000 clientes de que un atacante usó las credenciales de su cuenta de alojamiento web en octubre de 2019 para conectarse a su cuenta de alojamiento a través de SSH.
GoDaddy ahora está trabajando con expertos forenses de ciberseguridad externos y agencias gubernamentales en todo el mundo como parte de una investigación en curso sobre la causa raíz de la violación.
Vínculos a ataques dirigidos a otras empresas de hosting
GoDaddy dice que también encontró evidencia adicional que vincula a los actores de amenazas con una campaña más amplia dirigida a otras empresas de alojamiento en todo el mundo a lo largo de los años.
"Tenemos evidencia, y la policía lo ha confirmado, de que este incidente fue llevado a cabo por un grupo sofisticado y organizado que tenía como objetivo servicios de hosting como GoDaddy", dijo la compañía en un comunicado.
"Según la información que hemos recibido, su objetivo aparente es infectar sitios web y servidores con malware para campañas de phishing, distribución de malware y otras actividades maliciosas".
GoDaddy es uno de los registradores de dominios más grandes y también brinda servicios de alojamiento (hosting) a más de 20 millones de clientes en todo el mundo.
Fuente: BleepingComputer
domingo, 25 de septiembre de 2022
2 vulnerabilidades críticas en WhatsApp podrían permitir a atacantes comprometer tu dispositivo
WhatsApp ha publicado en su blog dos nuevas vulnerabilidades críticas encontradas, cuyos CVEs serían: CVE-2022-36934 y CVE-2022-27492. Fallos que pueden hacer que dispositivos, tanto iOS como Android se vean comprometidos.
Para solventar el problema lo único que se debe hacer es actualizar la aplicación en el dispositivo.
Las dos vulnerabilidades mencionadas anteriormente afectan una función del componente Video File Handler que hace que, en caso de que nos envíen un archivo de video manipulado (CVE-2022-27492) o establezcamos una videollamada maliciosa (CVE-2022-36934), se pueda dar lugar a ejecución remota de código (RCE) en nuestro dispositivo, aunque los efectos exactos de un ataque exitoso no se conocen por el momento.
¿Qué versiones de WhatsApp están afectadas?
En el caso de la vulnerabilidad relacionada con videollamadas maliciosas (CVE-2022-36934), las versiones de WhatsApp vulnerables son:
- - Para Android anterior a la versión v2.22.16.12
- - Business para Android anterior a la v2.22.16.12
- - Para iOS anterior a la versión v2.22.16.12
- - Business para iOS anterior a la v2.22.16.12
En el caso de la vulnerabilidad relacionada con envío de videos maliciosos (CVE-2022-27492), las versiones de WhatsApp vulnerables son:
- - WhatsApp para Android anterior a la v2.22.16.2
- - WhatsApp para iOS v2.22.15.9
Si no lo has hecho antes, te invitamos a actualizar ahora tu versión de WhatsApp a la última disponible.
¿Cómo actualizar WhatsApp?
AndroidVisita la Play Store, pulsa en el menú y elige ‘Mis aplicaciones y juegos’. Pulsa en actualizar junto al ícono de WhatsApp.
Visita la App Store, haz clic en actualizaciones y actualiza. También puedes buscar la aplicación en la tienda de apps y pulsar actualizar junto al ícono de WhatsApp.
Fuente: Derecho de la Red
martes, 7 de diciembre de 2021
Guía del FBI revela qué datos pueden obtener de Apps de mensajería (WhatsApp, iMessage, WeChat, Line, Viber, etc.).
Un documento interno del FBI fue publicado recientemente por "Rolling Stone" en donde se señala qué datos puede recolectar legalmente esta agencia de aplicaciones de mensajería instantánea como WhatsApp o iMessage.
Facebook y Apple se han convertido en dos de las empresas más poderosas del mundo gracias, en parte, a la popularidad de WhatsApp y iMessage, aplicaciones de mensajería que se venden como "privadas". Sin embargo, no lo son tanto. Documentos internos publicados por la revista "Rolling Stone" demuestran que el FBI puede acceder fácilmente a datos privados de sus usuarios, incluso a conversaciones en tiempo real.
Más concretamente, el informe señala que, siempre que cuente con una orden judicial o con una citación, la agencia de investigación criminal de los Estados Unidos puede obtener la ubicación y los metadatos —información sobre documentos, imágenes, archivos o páginas webs— de WhatsApp y iMessage. Aunque estos servicios de mensajería están cifrados, las fuerzas del orden pueden usar un requerimiento judicial para obligar legalmente a sus propietarias a descifrarlos. "Las aplicaciones de mensajería encriptada más populares son también las más permisivas", ha explicado Mallory Knodel, Directora de Tecnología del Centro para la Democracia y la Tecnología, a "Rolling Stone".
En el documento filtrado del FBI se desvelan qué datos personales puede sacar legalmente de aplicaciones como: WhatsApp, iMessage, Telegram, Signal, WeChat o Line. Siendo lo más alarmante que en las dos primeras (WhatsApp y iMessage), incluso pueden obtener nuestros mensajes en tiempo real. Mientras que Telegram sigue siendo el canal más privado.
En el caso de WhatsApp y iMessage, el FBI puede tener acceso a información sobre el usuario, sus contactos, mensajes, copias de seguridad y otros datos como los de fecha, hora y registro. El documento —que no había sido publicado hasta la fecha— se va en contra de la narrativa de respeto a la privacidad que los directores ejecutivos de Meta (empresa matriz de Facebook) y Apple, Mark Zuckerberg y Tim Cook, repiten desde hace años.
Este documento nos ofrece una visión de las capacidades que tienen la agencia para obtener legalmente grandes cantidades de datos de las aplicaciones de mensajería más usadas, y muchas de las cuales usan la «privacidad» como una bandera a la hora de diferenciarse.
Sin privacidad
La guía del FBI, fechada en el 7 de enero de 2021, deja claro las vías legales que tanto la agencia como policías estatales y federales tienen para extraer datos confidenciales de los usuarios de los servicios de chat más populares del mundo, entre las que también figuran Telegram, Signal, WeChat, Line, Wicker, Viber y Threema, eso sí obteniendo menos información de estas últimas.
Aunque todas ellas se venden como baluartes de la privacidad de los usuarios la realidad es otra, pues la ley les obliga a entregar esa información confidencial a las autoridades. Telegram es la aplicación más privada de todas ellas y se especifica que solo puede ceder algunos datos al FBI si se comprueba que es por casos de terrorismo.
Tras los atentados del 11 de septiembre de 2001, EE.UU. aprobó la Ley Patriota, que ampliaba el poder de las autoridades para impulsar una vigilancia masiva de los ciudadanos sin orden judicial. Todo en nombre de la seguridad ante la amenaza yihadista. Sin embargo, no fue hasta el 2013 cuando conocimos el alcance de ese sistema de espionaje. El ex-analista de la CIA Edward Snowden desveló entonces cómo los gigantes tecnológicos —Google, Microsoft, Facebook, Apple, Yahoo o Youtube, entre otras— habían colaborado con la Agencia de Seguridad Nacional (NSA) para proporcionarles la comunicación e información privada de usuarios de todo el mundo. Esa simbiosis sigue existiendo.
Fuente: Informacion.es
miércoles, 1 de diciembre de 2021
Project Zero de Google reporta graves vulnerabilidades en Zoom
Los fallos de seguridad fueron descubiertos e informados por la experta Natalie Silvanovich perteneciente al Proyecto de Google conocido como " Project Zero", estas vulnerabilidades afectan al cliente Zoom en todas las plataformas principales ( Windows, macOS, Linux, iOS y Android ) y podrían explotarse para ataques de ejecución de código (RCE).
sábado, 27 de noviembre de 2021
GitHub está caído, afectando a millones de desarrolladores
GitHub, propiedad de Microsoft, está caído, afectando a millones de desarrolladores a nivel mundial que dependen de sus muchos servicios. De acuerdo a nuestras pruebas (ya que estábamos usando la plataforma) y a los reportes de múltiples usuarios, los problemas empezaron aproximadamente a las 3:45PM ET., donde los servicios afectados incluyen: Git operations, API requests, GitHub actions, packages, pages, y pull requests.
En la página de incidentes de GitHub se encuentra el mensaje: “We’re investigating errors affecting most GitHub services, We’re actively investigating and will provide an update as soon as possible.” En la página de status se puede ver el estado de los servicios antes mencionados, algo que sí se ha comprobado que sigue operativo es el servicio de Codespaces.
Al momento de intentar ingresar a alguno de los repositorios de la plataforma, sean estos públicos, privados o propios, se muestra el siguiente Error 500:
GitHub es ahora el hogar de más de 73 millones de desarrolladores que confían en el servicio para el control de versiones a través de Git y el alojamiento para el desarrollo de software. GitHub es un gran repositorio de código que se ha vuelto muy popular entre los desarrolladores y las empresas que alojan proyectos y códigos completos en el servicio. Apple, Amazon, Google, Facebook y muchas otras grandes empresas de tecnología utilizan GitHub.
Hay más de 100 millones de repositorios alojados en GitHub, por lo que cualquier interrupción afecta a una gran cantidad de organizaciones. GitHub se cayó durante dos horas el año pasado, después de que algunos errores provocaran interrupción en el servicio y lo dejaran fuera de línea brevemente. Esta última interrupción se produce pocas semanas después de que el ex director ejecutivo de GitHub, Nat Friedman, dimitiera y la empresa sigue funcionando como una empresa independiente propiedad de Microsoft.
viernes, 12 de noviembre de 2021
Movistar sufre brecha de seguridad que expone datos personales de sus clientes
Telefónica Movistar reconoce que terceros no autorizados accedieron a información de sus usuarios, aunque no tiene constancia de que hayan sido explotados.
Movistar de España ha sufrido una brecha de seguridad que ha dejado expuestos "los datos básicos y de identificación, los datos de contacto, así como a la información sobre los productos y servicios contratados" a los que habrían tenido acceso terceros no autorizados. Así lo ha confirmado en un comunicado la propia compañía.
Algunos clientes de Movistar y O2 han recibido, en las últimas horas, SMS y correos electrónicos provenientes de los operadores, alertando del hackeo e informando a los usuarios: "Hola, esto es IMPORTANTE. Hemos detectado (y ya ha sido bloqueado) un acceso irregular a nuestros sistemas de IPs sospechosas. [...] No hay evidencias de que dichos datos hayan sido explotados y no ha habido acceso a datos de facturación, ni al detalle de llamadas, ni a contraseñas de acceso", dice el mensaje.
Movistar ha asegurado que el ciberataque ha sido detectado y bloqueado, y que van a tomar las medidas necesarias para que esta circunstancia no vuelva a producirse. También han remarcado que no han accedido a otro tipo de información más sensible, como puedan ser datos de facturación y cuenta bancaria, detalles de llamadas, o el usuario y contraseña para acceder al área privada y aplicación de Mi Movistar.
Por otro lado, la empresa no tiene evidencias de que se haya realizado ningún tipo de explotación de los datos afectados. Ante tal ataque informático y acceso a datos personales de sus clientes se han dirigido a los clientes para pedir disculpas "por las molestias que esta situación haya podido ocasionar" e invitan a los clientes a llamar al 1004 ante cualquier duda.
jueves, 11 de noviembre de 2021
Vulnerabilidad crítica en plugin de WordPress permite borrar base de datos
La vulnerabilidad está presente en el complemento (plugin) de WordPress conocido como WP Reset PRO, que al momento de esta publicación es utilizado por más de 400.000 sitios web. Los investigadores de seguridad de Patchstack (anteriormente conocido como WebARX) han descubierto esta vulnerabilidad de alta gravedad que permite a los usuarios autenticados borrar datos de sitios web vulnerables.
Según su reporte, un atacante puede aprovechar la vulnerabilidad para borrar toda la base de datos del sitio web simplemente visitando la página de inicio del sitio para iniciar el proceso de instalación de WordPress. El CEO de Patschstack, Oliver Sild, lo llamó una "vulnerabilidad destructiva" que puede causar principalmente problemas para los sitios web de comercio electrónico que ofrecen registro abierto.
Sobre la vulnerabilidad
Es importante destacar que cualquier usuario autenticado (con cualquier tipo de rol o privilegio) puede aprovechar esta vulnerabilidad, ya sea que esté autorizado o no, y borrar todas las tablas almacenadas en una base de datos de instalación de WordPress para reiniciar el proceso de instalación de WordPress.
Un atacante malicioso puede abusar de esta falla para crear una cuenta de Administrador en el sitio web, lo cual es necesario para completar el proceso de instalación. Además, el atacante puede explotar esta nueva cuenta de administrador para cargar complementos maliciosos en el sitio web o instalar puertas traseras, troyanos y llevar al total compromiso del servidor.
"El problema en este complemento se debe a la falta de autorización y verificación del token nonce. El complemento registra algunas acciones en el scope admin_action_*. En el caso de esta vulnerabilidad, es admin_action_wpr_delete_snapshot_tables", informa el reporte. "Desafortunadamente, el scope de admin_action_* no realiza una verificación para determinar si el usuario está autorizado para realizar dicha acción, ni valida o verifica un token nonce para prevenir ataques CSRF".
¿Qué versiones se ven afectadas?
Esta vulnerabilidad está clasificada como CVE-2021-36909 y afecta las versiones premium del complemento WP Reset, incluidas todas las versiones lanzadas hasta la v.5.98. El complemento está diseñado para ayudar a los administradores a restablecer todo el sitio web o algunas partes del mismo para realizar una depuración y pruebas más rápidas y restaurar el sitio a partir de instantáneas integradas. Todo esto se hace con un solo clic del mouse.
La parte del código vulnerable se encuentra en la función delete_snapshot_tables:
Se puede ver que el parámetro de consulta uid se toma de la URL, mismo que es usado como prefijo de las tablas que deben eliminarse. Dado que se usa el operador LIKE, se puede pasar un parámetro de consulta como "%% wp" para eliminar todas las tablas con el prefijo wp.
Sild explicó que el error podría aprovecharse para acceder a otros sitios web en el mismo servidor y permitir movimientos laterales que llevarían a compromisos más serios.
"Si hay un sitio antiguo olvidado en un subdirectorio (vemos eso mucho) que tiene ese complemento instalado y el entorno del servidor está conectado, entonces esto permitiría acceder a otros sitios en el mismo entorno", señaló Sild.
El fallo de seguridad se corrigió en la versión WP Reset PRO 5.99. Por lo que para mitigar esta vulnerabilidad se recomienda actualizar el complemento a la última versión emitida por el fabricante
miércoles, 6 de octubre de 2021
Filtración masiva de Datos en Twitch
Un cibercriminal anónimo afirma haber accedido a información confidencial de la plataforma de streaming Twitch, incluyendo su código fuente y la información de pago a los streamers.
Se ha publicado un enlace magnet (torrent) de 125.89 GB en 4chan (/g/), en el que el autor afirma que la filtración tiene la intención de «fomentar más interrupciones y competencia en el espacio de transmisión de video en línea» porque «su comunidad es un pozo negro tóxico repugnante».
Hilo de 4chan donde se publicó el enlace de la filtración de Twitch
De acuerdo a los datos mencionados en el hilo por el atacante, esta es la primera parte de un conjunto más grande de datos en poder del cibercriminal, sin embargo no se ha mencionado qué otra información será filtrada posteriormente.
Se afirma que dentro del contenido del torrent se encuentran datos como:
- - La totalidad del código fuente de Twitch con historial de comentarios «que se remonta a sus inicios»
- - Informes de pagos para creadores de 2019
- - Clientes de Twitch para dispositivos móviles, de escritorio y de consola
- - SDK propietarios y servicios de AWS internos utilizados por Twitch
- - «Todas las demás propiedades que posee Twitch», incluidos IGDB y CurseForge
- - Un competidor de Steam inédito, con nombre en código Vapor, de Amazon Game Studios
- - Herramientas internas de "Red Team" de Twitch (diseñadas para mejorar la seguridad haciendo que el personal ejecute tareas simulando actividad de piratas informáticos)
Dentro del torrent al momento de proceder a descargarlo se pueden encontrar las siguientes carpetas y archivos:
Contenido del Torrent de la supuesta filtración de datos de Twitch
Así también algunos usuarios de Twitter que han descargado el torrent afirman que dentro del contenido de este se incluyen contraseñas cifradas y recomiendan a los usuarios que cambien sus contraseñas como medida de seguridad y precaución.
Tweet donde se reporta la filtración de datos de Twitch
Según reportan otros usuarios en redes sociales, dentro del torrent también se incluye el código de Unity para un juego llamado "Vapeworld", que parece ser un software de chat basado en el competidor Steam inédito de Amazon, Vapor.
Durante el transcurso de hoy Twitch emitió un comunicado oficial confirmando la filtración e indicando que está trabajando con urgencia para obtener el alcance de la brecha.
Comunicado Oficial de Twitch aceptando la filtración
Ahora que se ha confirmado la brecha es recomendado tomar acciones sobre las cuentas de Twitch, si eres usuario de esta plataforma, cambia tu contraseña y otros datos de inicio de sesión, si es posible, puedes habilitar el doble factor de autenticación para una mayor seguridad.
Suscribirse a:
Entradas (Atom)
Entradas
