sábado, 18 de febrero de 2023
GoDaddy revela brecha de datos y violación de seguridad de varios años que causa instalación de malware y robo de código fuente
Si bien GoDaddy descubrió la brecha de seguridad luego de que múltiples clientes reportaran a principios de diciembre de 2022 de que sus sitios se estaban utilizando para redirigir a dominios aleatorios, los atacantes tuvieron acceso a la red de la empresa durante varios años.
"Según nuestra investigación, creemos que estos incidentes son parte de una campaña de varios años por parte de un sofisticado grupo de actores de amenazas que, entre otras cosas, instaló malware en nuestros sistemas y obtuvo fragmentos de código relacionados con algunos servicios dentro de GoDaddy", dijo la firma de hosting.
La compañía afirmó que las brechas anteriores reveladas en noviembre de 2021 y marzo de 2020 también están vinculadas a esta campaña de varios años.
El incidente de noviembre de 2021 condujo a una violación de datos que afectó a 1,2 millones de clientes con WordPress después de que los atacantes violaran el entorno de alojamiento de WordPress de GoDaddy utilizando una contraseña comprometida.
Obtuvieron acceso a las direcciones de correo electrónico de todos los clientes afectados, sus contraseñas de administrador de WordPress, credenciales de base de datos y sFTP, y claves privadas SSL de un subconjunto de clientes activos.
Después de la filtración de marzo de 2020, GoDaddy alertó a 28.000 clientes de que un atacante usó las credenciales de su cuenta de alojamiento web en octubre de 2019 para conectarse a su cuenta de alojamiento a través de SSH.
GoDaddy ahora está trabajando con expertos forenses de ciberseguridad externos y agencias gubernamentales en todo el mundo como parte de una investigación en curso sobre la causa raíz de la violación.
Vínculos a ataques dirigidos a otras empresas de hosting
GoDaddy dice que también encontró evidencia adicional que vincula a los actores de amenazas con una campaña más amplia dirigida a otras empresas de alojamiento en todo el mundo a lo largo de los años.
"Tenemos evidencia, y la policía lo ha confirmado, de que este incidente fue llevado a cabo por un grupo sofisticado y organizado que tenía como objetivo servicios de hosting como GoDaddy", dijo la compañía en un comunicado.
"Según la información que hemos recibido, su objetivo aparente es infectar sitios web y servidores con malware para campañas de phishing, distribución de malware y otras actividades maliciosas".
GoDaddy es uno de los registradores de dominios más grandes y también brinda servicios de alojamiento (hosting) a más de 20 millones de clientes en todo el mundo.
Fuente: BleepingComputer
domingo, 25 de septiembre de 2022
2 vulnerabilidades críticas en WhatsApp podrían permitir a atacantes comprometer tu dispositivo
¿Qué versiones de WhatsApp están afectadas?
- - Para Android anterior a la versión v2.22.16.12
- - Business para Android anterior a la v2.22.16.12
- - Para iOS anterior a la versión v2.22.16.12
- - Business para iOS anterior a la v2.22.16.12
- - WhatsApp para Android anterior a la v2.22.16.2
- - WhatsApp para iOS v2.22.15.9
¿Cómo actualizar WhatsApp?
AndroidFuente: Derecho de la Red
martes, 7 de diciembre de 2021
Guía del FBI revela qué datos pueden obtener de Apps de mensajería (WhatsApp, iMessage, WeChat, Line, Viber, etc.).
Un documento interno del FBI fue publicado recientemente por "Rolling Stone" en donde se señala qué datos puede recolectar legalmente esta agencia de aplicaciones de mensajería instantánea como WhatsApp o iMessage.
Sin privacidad
miércoles, 1 de diciembre de 2021
Project Zero de Google reporta graves vulnerabilidades en Zoom
Los fallos de seguridad fueron descubiertos e informados por la experta Natalie Silvanovich perteneciente al Proyecto de Google conocido como " Project Zero", estas vulnerabilidades afectan al cliente Zoom en todas las plataformas principales ( Windows, macOS, Linux, iOS y Android ) y podrían explotarse para ataques de ejecución de código (RCE).
viernes, 12 de noviembre de 2021
Movistar sufre brecha de seguridad que expone datos personales de sus clientes
jueves, 11 de noviembre de 2021
Vulnerabilidad crítica en plugin de WordPress permite borrar base de datos
La vulnerabilidad está presente en el complemento (plugin) de WordPress conocido como WP Reset PRO, que al momento de esta publicación es utilizado por más de 400.000 sitios web. Los investigadores de seguridad de Patchstack (anteriormente conocido como WebARX) han descubierto esta vulnerabilidad de alta gravedad que permite a los usuarios autenticados borrar datos de sitios web vulnerables.
Según su reporte, un atacante puede aprovechar la vulnerabilidad para borrar toda la base de datos del sitio web simplemente visitando la página de inicio del sitio para iniciar el proceso de instalación de WordPress. El CEO de Patschstack, Oliver Sild, lo llamó una "vulnerabilidad destructiva" que puede causar principalmente problemas para los sitios web de comercio electrónico que ofrecen registro abierto.
Sobre la vulnerabilidad
Es importante destacar que cualquier usuario autenticado (con cualquier tipo de rol o privilegio) puede aprovechar esta vulnerabilidad, ya sea que esté autorizado o no, y borrar todas las tablas almacenadas en una base de datos de instalación de WordPress para reiniciar el proceso de instalación de WordPress.
Un atacante malicioso puede abusar de esta falla para crear una cuenta de Administrador en el sitio web, lo cual es necesario para completar el proceso de instalación. Además, el atacante puede explotar esta nueva cuenta de administrador para cargar complementos maliciosos en el sitio web o instalar puertas traseras, troyanos y llevar al total compromiso del servidor.
"El problema en este complemento se debe a la falta de autorización y verificación del token nonce. El complemento registra algunas acciones en el scope admin_action_*. En el caso de esta vulnerabilidad, es admin_action_wpr_delete_snapshot_tables", informa el reporte. "Desafortunadamente, el scope de admin_action_* no realiza una verificación para determinar si el usuario está autorizado para realizar dicha acción, ni valida o verifica un token nonce para prevenir ataques CSRF".
¿Qué versiones se ven afectadas?
Esta vulnerabilidad está clasificada como CVE-2021-36909 y afecta las versiones premium del complemento WP Reset, incluidas todas las versiones lanzadas hasta la v.5.98. El complemento está diseñado para ayudar a los administradores a restablecer todo el sitio web o algunas partes del mismo para realizar una depuración y pruebas más rápidas y restaurar el sitio a partir de instantáneas integradas. Todo esto se hace con un solo clic del mouse.
La parte del código vulnerable se encuentra en la función delete_snapshot_tables:
Se puede ver que el parámetro de consulta uid se toma de la URL, mismo que es usado como prefijo de las tablas que deben eliminarse. Dado que se usa el operador LIKE, se puede pasar un parámetro de consulta como "%% wp" para eliminar todas las tablas con el prefijo wp.
Sild explicó que el error podría aprovecharse para acceder a otros sitios web en el mismo servidor y permitir movimientos laterales que llevarían a compromisos más serios.
"Si hay un sitio antiguo olvidado en un subdirectorio (vemos eso mucho) que tiene ese complemento instalado y el entorno del servidor está conectado, entonces esto permitiría acceder a otros sitios en el mismo entorno", señaló Sild.
El fallo de seguridad se corrigió en la versión WP Reset PRO 5.99. Por lo que para mitigar esta vulnerabilidad se recomienda actualizar el complemento a la última versión emitida por el fabricante
miércoles, 6 de octubre de 2021
Filtración masiva de Datos en Twitch
Un cibercriminal anónimo afirma haber accedido a información confidencial de la plataforma de streaming Twitch, incluyendo su código fuente y la información de pago a los streamers.
Se ha publicado un enlace magnet (torrent) de 125.89 GB en 4chan (/g/), en el que el autor afirma que la filtración tiene la intención de «fomentar más interrupciones y competencia en el espacio de transmisión de video en línea» porque «su comunidad es un pozo negro tóxico repugnante».
De acuerdo a los datos mencionados en el hilo por el atacante, esta es la primera parte de un conjunto más grande de datos en poder del cibercriminal, sin embargo no se ha mencionado qué otra información será filtrada posteriormente.
- - La totalidad del código fuente de Twitch con historial de comentarios «que se remonta a sus inicios»
- - Informes de pagos para creadores de 2019
- - Clientes de Twitch para dispositivos móviles, de escritorio y de consola
- - SDK propietarios y servicios de AWS internos utilizados por Twitch
- - «Todas las demás propiedades que posee Twitch», incluidos IGDB y CurseForge
- - Un competidor de Steam inédito, con nombre en código Vapor, de Amazon Game Studios
- - Herramientas internas de "Red Team" de Twitch (diseñadas para mejorar la seguridad haciendo que el personal ejecute tareas simulando actividad de piratas informáticos)
Así también algunos usuarios de Twitter que han descargado el torrent afirman que dentro del contenido de este se incluyen contraseñas cifradas y recomiendan a los usuarios que cambien sus contraseñas como medida de seguridad y precaución.
Según reportan otros usuarios en redes sociales, dentro del torrent también se incluye el código de Unity para un juego llamado "Vapeworld", que parece ser un software de chat basado en el competidor Steam inédito de Amazon, Vapor.
Durante el transcurso de hoy Twitch emitió un comunicado oficial confirmando la filtración e indicando que está trabajando con urgencia para obtener el alcance de la brecha.
lunes, 20 de septiembre de 2021
Conferencia: Explotación de Vulnerabilidades en Aplicaciones Web - Galoget Latorre (OSCP)
A todo nuestro estimado público, les queremos extender la cordial invitación a la charla que estará dictando nuestro representante Ing. Galoget Latorre (OSCP, OSWP) con la temática: "Explotación de Vulnerabilidades en Aplicaciones Web (from zero to root)", evento organizado en conjunto con el Equipo de Ciberseguridad del Club de Software de la Escuela Politécnica Nacional (EPN), los detalles completos a continuación junto con su afiche promocional:
- - Expositor: Ing. Galoget Latorre - Penetration Tester | Ethical Hacker | OSCP | OSWP
- - Tema: Explotación de Vulnerabilidades en Aplicaciones Web (from zero to root)
- - Fecha: Jueves, 23 de Septiembre 2021
- - Hora: 21h00 PM
- - Costo: Acceso Libre, Evento Gratuito
- - Plataforma: Facebook Live
¡Los esperamos!
viernes, 12 de octubre de 2018
Cibercriminales accedieron a datos de 29 millones de usuarios de Facebook
domingo, 30 de septiembre de 2018
Un ciberataque a Facebook deja expuestas casi 50 millones de cuentas
viernes, 10 de agosto de 2018
7 señales de que tu teléfono móvil fue hackeado (y qué hacer al respecto)
martes, 31 de julio de 2018
Nuevo minero de criptomonedas sabotea empresas de toda América Latina
viernes, 10 de noviembre de 2017
Fraude con Windows Movie Maker falso que aparece en primeros lugares de Google y Bing
jueves, 2 de noviembre de 2017
Kaspersky Lab descubre exploit de día cero en Adobe Flash
jueves, 26 de octubre de 2017
Bad Rabbit: Nuevo Ransomware de impacto Mundial
domingo, 24 de septiembre de 2017
Brasil, México y Colombia, a la cabeza de los secuestros digitales en América Latina
miércoles, 20 de septiembre de 2017
CCleaner hackeado, más de 2.3 millones de ordenadores infectados.
viernes, 15 de septiembre de 2017
Kaspersky Lab: crece el malware en Latinoamérica
miércoles, 13 de septiembre de 2017
BlueBorne, así es la vulnerabilidad de Bluetooth que afecta a 5.000 millones de dispositivos
¿Cómo funciona el Ataque?
Vulnerables prácticamente todos los sistemas
Las soluciones están al llegar
Fuente: Xataka
jueves, 31 de agosto de 2017
711 millones de direcciones de email filtradas, ¡Comprueba si la tuya está en la lista!
Un Spambot, es decir, un programa que envía correos de spam, ha filtrado más de 700 millones de direcciones de email y contraseñas, que se hicieron públicas tras una enorme brecha.
Este bot mal configurado, llamado Onliner, fue descubierto por un investigador de seguridad basado en París conocido como Benkow. Los spambots están diseñados para enviar spam, ya sea con cuentas que crean en forma masiva, o bien cuentas que recolectan de material hallado en Internet (sitios web, foros, salas de chat).