sábado, 18 de febrero de 2023
GoDaddy revela brecha de datos y violación de seguridad de varios años que causa instalación de malware y robo de código fuente
Si bien GoDaddy descubrió la brecha de seguridad luego de que múltiples clientes reportaran a principios de diciembre de 2022 de que sus sitios se estaban utilizando para redirigir a dominios aleatorios, los atacantes tuvieron acceso a la red de la empresa durante varios años.
"Según nuestra investigación, creemos que estos incidentes son parte de una campaña de varios años por parte de un sofisticado grupo de actores de amenazas que, entre otras cosas, instaló malware en nuestros sistemas y obtuvo fragmentos de código relacionados con algunos servicios dentro de GoDaddy", dijo la firma de hosting.
La compañía afirmó que las brechas anteriores reveladas en noviembre de 2021 y marzo de 2020 también están vinculadas a esta campaña de varios años.
El incidente de noviembre de 2021 condujo a una violación de datos que afectó a 1,2 millones de clientes con WordPress después de que los atacantes violaran el entorno de alojamiento de WordPress de GoDaddy utilizando una contraseña comprometida.
Obtuvieron acceso a las direcciones de correo electrónico de todos los clientes afectados, sus contraseñas de administrador de WordPress, credenciales de base de datos y sFTP, y claves privadas SSL de un subconjunto de clientes activos.
Después de la filtración de marzo de 2020, GoDaddy alertó a 28.000 clientes de que un atacante usó las credenciales de su cuenta de alojamiento web en octubre de 2019 para conectarse a su cuenta de alojamiento a través de SSH.
GoDaddy ahora está trabajando con expertos forenses de ciberseguridad externos y agencias gubernamentales en todo el mundo como parte de una investigación en curso sobre la causa raíz de la violación.
Vínculos a ataques dirigidos a otras empresas de hosting
GoDaddy dice que también encontró evidencia adicional que vincula a los actores de amenazas con una campaña más amplia dirigida a otras empresas de alojamiento en todo el mundo a lo largo de los años.
"Tenemos evidencia, y la policía lo ha confirmado, de que este incidente fue llevado a cabo por un grupo sofisticado y organizado que tenía como objetivo servicios de hosting como GoDaddy", dijo la compañía en un comunicado.
"Según la información que hemos recibido, su objetivo aparente es infectar sitios web y servidores con malware para campañas de phishing, distribución de malware y otras actividades maliciosas".
GoDaddy es uno de los registradores de dominios más grandes y también brinda servicios de alojamiento (hosting) a más de 20 millones de clientes en todo el mundo.
Fuente: BleepingComputer
viernes, 12 de noviembre de 2021
Movistar sufre brecha de seguridad que expone datos personales de sus clientes
miércoles, 6 de octubre de 2021
Filtración masiva de Datos en Twitch
Un cibercriminal anónimo afirma haber accedido a información confidencial de la plataforma de streaming Twitch, incluyendo su código fuente y la información de pago a los streamers.
Se ha publicado un enlace magnet (torrent) de 125.89 GB en 4chan (/g/), en el que el autor afirma que la filtración tiene la intención de «fomentar más interrupciones y competencia en el espacio de transmisión de video en línea» porque «su comunidad es un pozo negro tóxico repugnante».
De acuerdo a los datos mencionados en el hilo por el atacante, esta es la primera parte de un conjunto más grande de datos en poder del cibercriminal, sin embargo no se ha mencionado qué otra información será filtrada posteriormente.
- - La totalidad del código fuente de Twitch con historial de comentarios «que se remonta a sus inicios»
- - Informes de pagos para creadores de 2019
- - Clientes de Twitch para dispositivos móviles, de escritorio y de consola
- - SDK propietarios y servicios de AWS internos utilizados por Twitch
- - «Todas las demás propiedades que posee Twitch», incluidos IGDB y CurseForge
- - Un competidor de Steam inédito, con nombre en código Vapor, de Amazon Game Studios
- - Herramientas internas de "Red Team" de Twitch (diseñadas para mejorar la seguridad haciendo que el personal ejecute tareas simulando actividad de piratas informáticos)
Así también algunos usuarios de Twitter que han descargado el torrent afirman que dentro del contenido de este se incluyen contraseñas cifradas y recomiendan a los usuarios que cambien sus contraseñas como medida de seguridad y precaución.
Según reportan otros usuarios en redes sociales, dentro del torrent también se incluye el código de Unity para un juego llamado "Vapeworld", que parece ser un software de chat basado en el competidor Steam inédito de Amazon, Vapor.
Durante el transcurso de hoy Twitch emitió un comunicado oficial confirmando la filtración e indicando que está trabajando con urgencia para obtener el alcance de la brecha.
viernes, 30 de julio de 2021
Reflexiones sobre los últimos Ciberataques en Ecuador
Durante las últimas semanas en Ecuador distintas Instituciones públicas y privadas han sido el centro de atención gracias a que cibercriminales publicaron en la Dark Web supuesta información de estas empresas, lo que abrió la posibilidad de considerar si estas instituciones (o a su vez empresas terceras que trabajan y comparten información con las entidades afectadas) quizás hayan sido víctimas de ciberataques, este post te contamos brevemente algunas reflexiones sobre el tema.