SISTEMA DE TRANSPORTE DE ESPAÑA FUE HACKEADO. TARJETAS DE AUTOBÚS Y TRANVÍA CLONADAS Y RECARGADAS CON DINERO FALSO

CONTENIDO ORIGINAL: https://noticiasseguridad.com/tecnologia/sistema-de-transporte-de-espana-fue-hackeado-tarjetas-de-autobus-y-tranvia-clonadas-y-recargadas-con-dinero-falso/

Acorde a especialistas en análisis de vulnerabilidades, se ha reportado un alza considerable en el número de estafas relacionadas con las recargas en las tarjetas usadas para viajar en el sistema de transporte público en España. Después de un descenso en esta actividad, gracias a la implementación de un nuevo sistema, los hackers parecen haber encontrado el método para esquivar las nuevas medidas de seguridad.

Después de que el incidente fuera revelado, la compañía concesionaria y el gobierno de España lanzaron un comunicado conjunto mencionando que se establecerán algunas medidas de monitoreo en el sistema para detectar cualquier movimiento sospechoso. La intención es bloquear permanentemente las tarjetas que sean identificadas con este “saldo falso”.

Las autoridades españolas mencionan que sus equipos de análisis de vulnerabilidades han detectado un incremento de esta actividad durante los últimos dos meses, especialmente en la región de Aragón. Anteriormente, gobierno y compañías privadas comenzaron a tomar medidas contra el uso de saldo falso en estas tarjetas, como la integración de una lista negra con más de 3 mil tarjetas fraudulentas y la renovación de los lectores de tarjeta de pago.

Acorde a diversos medios locales, el incremento repentino también podría estar relacionado con el regreso a clases de cientos de miles de alumnos de preparatorias y universidades, que pueden incrementar el saldo de estas tarjetas a niveles insospechados con sólo usar una aplicación móvil.

A pesar de que las autoridades y la concesionaria anunciaron la implementación de nueva tecnología, expertos en análisis de vulnerabilidades del Instituto Internacional de Seguridad Cibernética (IICS) afirman que la forma de defraudar al sistema de transporte de España es la misma que se practicaba hace algunos meses, aunque ahora se realiza de forma sigilosa; debido al constante monitoreo contra esta práctica, los perpetradores se limitan a hacer recargas falsas de entre 5 y 10 euros, cuando hace unos meses se llegaron a detectar recargas fraudulentas por más de 200 euros.

La compañía concesionaria ha reportado que por ahora no tiene la intención de instalar nuevo hardware o desarrollar nuevos sistemas para el pago del transporte público. En su lugar, mencionan que continuarán con el enfoque de detección de actividad sospechosa. “Cualquier sistema de transporte público es vulnerable”, mencionó un portavoz.

Incidentes de hacking de este tipo ocurren cada vez con mayor frecuencia. Hace algunas semanas, un grupo de hackers no identificado logró generar cientos de viajes gratis usando la app del sistema de transporte de Manchester, Reino Unido. Gracias a una pobre seguridad, los hackers lograron usar una y otra vez un mismo código QR, usado como comprobante de pago.

Read More

APP MÓVIL DE 7-ELEVEN PARA CARGAR Y PAGAR GASOLINA SUFRE BRECHA DE DATOS

CONTENIDO ORIGINAL: https://noticiasseguridad.com/seguridad-movil/app-movil-de-7-eleven-para-cargar-y-pagar-gasolina-sufre-brecha-de-datos/

Especialistas en protección de datos reportan que la app para la compra de gasolina operada por la popular cadena de tiendas 7-Eleven fue objeto de un ciberataque que derivó en una brecha de datos confidenciales, incluyendo nombres de usuarios, números de teléfono, entre otros.

Este jueves, la compañía optó por desconectar la app por unas horas, luego de que uno de los usuarios notificara que era posible acceder a la información personal de muchos otros usuarios a través de la aplicación, que cuenta con alrededor de dos millones de descargas. La app permite realizar pagos por combustible de forma anticipada, lo que los usuarios tratan de aprovechar para llenar sus tanques de gasolina al precio más bajo posible.

El usuario que reportó el error, cuya identidad no fue revelada, mencionó que descubrió la filtración hace algunos días, mientras trataba de ingresar a la app como de costumbre. Al iniciar sesión con sus propias credenciales de acceso, encontró la información de la cuenta de otro usuario en lugar de la suya. Al salir y volver a iniciar sesión, encontró los datos de un usuario diferente. Después de comprobar la veracidad del reporte del usuario, los equipos de protección de datos de 7-Eleven anunciaron el mantenimiento de emergencia.

Horas después, un portavoz de la compañía mencionó que la app ya se encontraba en línea nuevamente, aunque agregó que no podía comentar nada respecto al incidente de ciberseguridad, debido a que la investigación sigue en curso. “Se detectaron algunos problemas técnicos en la aplicación (7-Eleven Fuel). El problema ya ha sido resuelto y los servicios se encuentran disponibles para todos los usuarios. Seguiremos investigando el incidente en colaboración con las autoridades correspondientes”, concluyó el portavoz.

Debido a que el incidente ocurrió en Australia, los expertos en protección de datos mencionan que la compañía debe apegarse a las leyes en materia de protección de datos en dicho país. Acorde a la legislación australiana, las compañías víctimas de brechas de datos deben notificar a la Oficina del Comisionado de Información, así como a los usuarios afectados, cuando el incidente involucre información que pueda ser usada en perjuicio de los usuarios.

Algunas horas después, un representante de la Oficina del Comisionado de Información de Australia confirmó ante medios locales que la compañía ya había comenzado el proceso: “Podemos confirmar que hemos recibido una notificación sobre una posible brecha de datos en 7-Eleven”. Hasta este punto del 2019, esta organización ha recibido mil 160 reportes sobre brechas de datos, incluyendo 900 incidentes considerados de alta seriedad.

Otros incidentes de ciberseguridad han acontecido recientemente en esta cadena de tiendas. Hace algunos meses, especialistas en protección de datos del Instituto Internacional de Seguridad Cibernética (IICS) reportaron que 7-Eleven Japón suspendió su servicio de pago móvil (que acababa de ser implementado) después de que un tercero no autorizado lograra explotar una vulnerabilidad para realizar cargos a las cuentas de otros clientes de manera fraudulenta.

Read More

CAPITAL DE SUDÁFRICA SUSPENDE OPERACIONES DESPUÉS DE ATAQUE MASIVO DE RANSOMWARE. LOS HACKERS EXIGEN 30 MIL USD

CONTENIDO ORIGINAL: https://noticiasseguridad.com/hacking-incidentes/capital-de-sudafrica-suspende-operaciones-despues-de-ataque-masivo-de-ransomware-los-hackers-exigen-30-mil-usd/

Las grandes ciudades siempre han sido uno de los objetivos predilectos de los hackers. En esta ocasión, un grupo de actores de amenazas logró comprometer las redes informáticas de Johannesburgo, capital comercial de Sudáfrica, tratando de obtener un rescate. Acorde a expertos en seguridad de aplicaciones web, como medida de seguridad el gobierno de la ciudad decidió suspender las operaciones de su sitio web y cualquier servicio público electrónico (pago de multas, impuestos, consultas, etc.).

“Funcionarios de Johannesburgo han detectado una intrusión que tuvo como resultado acceso no autorizado a los sistemas informáticos de la ciudad. Nos disculpamos por los inconvenientes provocados por este incidente”, menciona un tweet en la cuenta oficial del gobierno de la ciudad.

Los atacantes exigen un rescate de 4 Bitcoin (alrededor de 30 mil dólares según su valor actual) a cambio de restablecer el orden en los sistemas de Johannesburgo. Aunque aún no hay nada confirmado, algunos miembros de la comunidad de la ciberseguridad han atribuido el ataque a un grupo conocido como Shadow Kill Hackers.

La nota de rescate enviada por los atacantes fue recibida por múltiples funcionarios públicos de la ciudad sudafricana. Un fragmento de dicha nota obtenido por medios locales menciona: “Todos los servidores y datos de la ciudad han sido hackeados. También hemos accedido a contraseñas y datos personales confidenciales”.

Finalmente, los hackers amenazaron con revelar al público toda esta información confidencial si sus demandas no son cumplidas. Especialistas en seguridad de aplicaciones web mencionan que los servicios digitales más afectados por este incidente son los de facturación en línea, atención a usuarios por Internet, entre otros. Las autoridades sudafricanas ya han comenzado una investigación, asegurando que en un plazo no mayor a 24 horas se contará con un panorama más claro sobre el incidente.

Este incidente ha ocurrido poco después de los ataques cibernéticos a diversos bancos sudafricanos. Durante estos ataques, los hackers lograron colapsar los servicios de banca en línea de Standard Bank, Absa y otras tres organizaciones, cuyos nombres no fueron revelados. Expertos en seguridad de aplicaciones web aún no descartan la posibilidad de que el mismo grupo de actores de amenazas esté detrás de esta pequeña oleada de ciberataques.

Es oportuno mencionar que los habitantes de Sudáfrica ya habían sido víctimas de otros incidentes de ciberseguridad de seriedad considerable. El pasado mes de julio, expertos en seguridad de aplicaciones web del Instituto Internacional de Seguridad Cibernética (IICS) reportaron un ciberataque masivo (infección de ransomware, para ser específicos) contra City Power, una de las compañías de servicios energéticos más importantes del país. Aunque los funcionarios y habitantes temían un corte masivo de electricidad, la infección sólo afectó al área operativa de la compañía.No obstante, el riesgo de un apagón sí existió, debido a que los sistemas para el procesamiento de facturas por consumo de energía no lograban registrar los pagos de los usuarios, por lo que los equipos en las compañías tuvieron que trabajar contrarreloj para restablecer sus sistemas y evitar los cortes de energía.

Read More

ESTA CHICA HACKEÓ 11 MIL COMEDEROS PARA PERROS Y GATOS. ¿SE ATREVERÍA A DAÑAR A TU MASCOTA?

CONTENIDO ORIGINAL: https://noticiasseguridad.com/tecnologia/esta-chica-hackeo-11-mil-comederos-para-perros-y-gatos-se-atreveria-a-danar-a-tu-mascota/

Los incidentes de ciberseguridad pueden afectar muchos aspectos de nuestras vidas, incluyendo los temas relacionados con nuestras mascotas. Hace algunos meses, Xiaomi, en colaboración con la compañía Furrytail, lanzó un proyecto de financiamiento colectivo que consistía en un comedero para mascotas controlado a través de una app, que era vendido en Youpin, la tienda oficial de Xiaomi.

Anna Prosvetova, una reconocida hacker rusa, afirma haber hackeado miles de dispositivos Furrytail Pet Smart Feeder, accediendo a cualquier dato relacionado con su uso. La hacker afirma que incluso es posible manipular el funcionamiento del dispositivo de forma remota.

Acorde a expertos en ciberseguridad, este dispositivo es básicamente un depósito de alimento conectado a Internet capaz de alimentar a las mascotas cuando su amo se encuentra fuera de la casa, estableciendo horarios para entregar una carga de alimento previamente determinada. El proyecto tuvo una respuesta más que aceptable en el proceso de recaudación, por lo que fue puesto en marcha casi de inmediato y lanzado a la venta este mismo año.

Prosvetova, a través de su canal de Telegram (@theyforcedme), afirma que descubrió la forma de hackear estos dispositivos por casualidad: “Mientras estudiaba la API del comedero descubrí algunos registros que se ejecutan en la pantalla de cualquiera de estos dispositivos, así como datos en las redes WiFi de las personas que los compraron. Después de un par de clics podía alimentar a cualquier perro o gato, aunque también tiene un uso malicioso, pues es posible eliminar los horarios programados por el usuario, lo que dejaría sin comida a las mascotas”.

Canal de Telegram de Prosvetova

Al principio la hacker sólo encontró 800 de estos dispositivos en línea, aunque poco después esta cifra aumentó a 6 mil 500, para finalizar su conteo en casi 11 mil comederos. Por fortuna, Prosvetova afirma que sería incapaz de usar estos dispositivos para impactar de forma negativa a cualquier mascota.

Acorde a expertos en ciberseguridad, esto se debe a que estos dispositivos cuentan con un controlador ESP8266, que permite la instalación de un firmware falso para comprometer su seguridad y realizar otras actividades, como formateo, integración de botnets, entre otras.

La hacker ya ha notificado esta falla a los fabricantes del dispensador de alimento inteligente, quienes anunciaron un parche de seguridad apara la aplicación para restringir este punto de acceso. Como medida de seguridad, especialistas del Instituto Internacional de Seguridad Cibernética (IICS) recomiendan a los usuarios desconectar estos dispositivos de Internet, al menos hasta que la compañía anuncie que las actualizaciones ya están disponibles.

Read More

SPANISH TRANSPORT SYSTEM WAS HACKED. BUS AND TRAM CARDS CLONED AND RECHARGED WITH FAKE MONEY

ORIGINAL CONTENT: https://www.securitynewspaper.com/2019/10/25/spanish-transport-system-was-hacked-bus-and-tram-cards-cloned-and-recharged-with-fake-money/

According to vulnerability testing specialists, there has been a considerable increase in the number of scams related to refills on cards used to travel on the public transportation system in Spain. After a decline in this activity, thanks to the implementation of a new system, the hackers seem to have found the method to bypass the new security measures.

After this report was revealed, the concessionaire company and the Spanish government released a joint statement mentioning that some monitoring measures will be put in place in the system to detect any suspicious movements. The intention is to permanently block cards that are identified with this “false balance”.

The Spanish authorities mention that their vulnerability testing teams have detected an increase in this activity over the last two months, especially in the Aragon region. Previously, government and private companies began taking action against the use of fake balance on these cards, such as integrating a blacklist with more than 3,000 fraudulent cards and renewing payment card reader devices.

According to various local media, the sudden increase could also be related to hundreds of thousands of high school and college students going back to school; as reported, the students can increase the balance of these cards to levels unsuspected by using just one APK.

Although the authorities and the concessionaire announced the implementation of new technology, vulnerability analysis experts from the International Institute of Cyber Security (IICS) say that the way to defraud the transport system of Spain is the same as that practiced a few months ago, although it is now carried out in a stealth manner; due to constant monitoring against this practice, perpetrators are limited to making fake refills of between 5 and 10 Euros, when a few months ago fraudulent recharges were detected for more than 200 Euros.

The concessionaire has reported that for now it does not intend to install new hardware or develop new systems for the payment of public transport. Instead, they mention that they will continue with the suspicious activity detection approach. “Any public transport system is vulnerable,” a spokesman said.

Hacking incidents of this type occur more and more frequently. A few weeks ago, an unidentified hacker group managed to generate hundreds of free trips using the Manchester, UK transport system app. Thanks to poor security, hackers managed to use the same QR code over and over again, used as proof of payment.

Read More

7-ELEVEN GAS STATION PAYMENT APP SUFFERS DATA BREACH

ORIGINAL CONTENT: https://www.securitynewspaper.com/2019/10/25/7-eleven-gas-station-payment-app-suffers-data-breach/

Data protection specialists report that the gasoline-buying app operated by the popular 7-Eleven store chain was the target of a supposed cyberattack that led to a sensitive data breach that exposed details such as user names, phone numbers, among others.

Last Thursday, the company opted to disconnect the app for a few hours, after one of the users notified that it was possible to access the personal information of many other users through the app, which has about two million downloads. The app allows you to make fuel payments in advance, with which users try to take advantage and fill their fuel tanks at the lowest possible price.

The user who reported the error, whose identity was not revealed, mentioned that he discovered the leak a few days ago, while trying to login to the app as usual. When he signed in with his own login credentials, he found another user’s account information instead of his. When the user logged out and logged back in, he found the data for a different user again. After checking the veracity of the user’s report, 7-Eleven data protection team announced emergency maintenance.

Hours later, a company spokesperson mentioned that the app was already online again, although he added that he could not comment on the cybersecurity incident, because the investigation is still ongoing. “Some technical issues were detected in the mobile application (7-Eleven Fuel). The issue has already been resolved and the services are available to all users. We will continue to investigate the incident in collaboration with the relevant authorities,” the spokesman concluded.

Because the incident occurred in Australia, data protection experts mention that the company must adhere to data protection laws in Australia. Under Australian law, companies that are victims of data breaches must notify the Information Commissioner’s Office, as well as affected users, when the incident involves information that may be used to the detriment of users.

A few hours later, a representative of the Australian Information Commissioner’s Office confirmed to local media that the company had already begun the process: “We can confirm that we have received a notification about a possible data breach in 7- Eleven.” Up to this point in 2019, this organization has received 1,160 reports on data breaches, including 900 incidents considered high seriousness.

Other cybersecurity incidents have recently occurred in this chain of stores. A few months ago, data protection specialists from the International Institute of Cyber Security (IICS) reported that 7-Eleven Japan suspended its mobile payment service (which had just been implemented) after an unauthorized third party achieved exploit a vulnerability to charge other customers’ accounts fraudulently.

Read More

SOUTH AFRICAN CAPITAL SHUTS DOWN OPERATIONS AFTER MASSIVE RANSOMWARE ATTACK. HACKERS DEMAND $30K USD

ORIGINAL CONTENT: https://www.securitynewspaper.com/2019/10/25/south-african-capital-shuts-down-operations-after-massive-ransomware-attack-hackers-demand-30k-usd/

Big cities have always been one of the hackers’ favorite targets. This time, a group of threat actors managed to compromise the computer networks of Johannesburg, South Africa’s commercial capital, trying to get a huge ransom. According to experts in web application security, as a security measure the city government decided to suspend the operations of its website and any electronic public service (fines & taxes payment, queries, etc.).

“Johannesburg officials have detected an intrusion that resulted in unauthorized access to the city’s computer systems. We apologize for the inconvenience caused by this incident,” mentions a tweet on the official city government account.

Attackers demand a ransom of 4 Bitcoin (about $30k USD at its current exchange rate) in exchange for restoring order in Johannesburg IT systems. Although nothing is yet confirmed, some members of the cybersecurity community have attributed the attack to a group known as Shadow Kill Hackers.

The ransom note sent by the attackers was received by multiple public officials in the South African city. A snippet of that note obtained by local media mentions: “All servers and city data have been hacked. We’ve also accessed passwords and sensitive personal data.”

In the end, hackers threatened to publicly disclose all this confidential information to the public if their demands are not met. Web application security specialists mention that the digital services most affected by this incident are online billing, online user service, and others. The South African authorities have already begun an investigation, ensuring that within a period of no more than 24 hours there will be a clearer picture of the incident.

This incident occurred shortly after cyberattacks on various South African banks. During these attacks, hackers managed to collapse the online banking services of Standard Bank, Absa and three other organizations, whose names were not disclosed. Web application security experts still don’t rule out the possibility that the same group of threat actors is behind this small wave of cyberattacks.

It is worth mentioning that the people of South Africa had already been victims of other cybersecurity incidents of considerable seriousness. Last July, web application security experts from the International Institute of Cyber Security (IICS) reported a massive cyberattack (ransomware infection, to be specific) against City Power, one of the country’s largest energy company. Although officials and residents feared a massive power outage, the infection only affected the company’s operational area. However, the risk of a blackout did exist, because systems for processing energy bills failed to record user payments, so IT teams in the company had to work against the clock to restore their prevent power outages.

Read More

THIS GIRL HACKED 11,000 DOGS AND CATS SMART FEEDERS. WOULD SHE DARE TO HARM YOUR PETS?

ORIGINAL CONTENT: https://www.securitynewspaper.com/2019/10/25/this-girl-hacked-11000-dogs-and-cats-smart-feeders-would-she-dare-to-harm-your-pets/

Cybersecurity incidents can affect many aspects of our lives, including issues related to our pets. A few months ago, Xiaomi, in collaboration with the company Furrytail, launched a crowd funding project consisting of an Internet-connected pet feeder controlled through an app, which was sold on Youpin, Xiaomi’s official store.

Anna Prosvetova, a well-known Russian hacker, claims to have hacked thousands of Furrytail Pet Smart Feeder devices, accessing any data related to its use. The hacker states that it is even possible to manipulate the operation of the device remotely.

According to cybersecurity experts, this device is basically an internet-connected food depot capable of feeding pets when their master is away from home, setting schedules to deliver a previously determined food load. The project had a more than acceptable response in the fundraising process, so it was launched almost immediately and released earlier this year.

Prosvetova, through her Telegram channel (@theyforcedme), claims that she discovered how to hack these devices accidentally: “While studying the feeder API, I discovered some records that run on the screen of any of these devices, as well as data on the WiFi networks of the people who bought them. After a couple of clicks I was able to feed any dog or cat, although it also has a malicious use, as it is possible to delete the schedules programmed by the user, which would leave the pets without food.”

Prosvetova’s Telegram channel

At first she only found 800 of these devices online, although soon after this figure increased to 6, 500, to finish its count in almost 11 thousand feeders. Fortunately, Prosvetova claims that she would be unable to use these devices to negatively impact any cat or dog.

According to cybersecurity experts, this flaw exists because these devices have an ESP8266 driver, which allows the installation of a fake firmware to compromise their security and perform other activities, such as formatting, botnet integration, among others .

The hacker has already reported this flaw to the manufacturers of the smart food dispenser, which announced that a security patch will be added to the app to restrict this access point. As a security measure, International Institute of Cyber Security (IICS) specialists recommend users disconnect these devices from the Internet, at least until the company announces that updates are already available.

Read More

ESTAS 17 APLICACIONES PARA IOS CONTIENEN MALWARE, DESINSTÁLELAS DE INMEDIATO

CONTENIDO ORIGINAL: https://noticiasseguridad.com/malware-virus/estas-17-aplicaciones-para-ios-contienen-malware-desinstalelas-de-inmediato/

Un grupo de expertos en hacking ético ha descubierto malware en al menos 17 apps para Apple, todas disponibles en App Store. La compañía ha comenzado a eliminar las apps maliciosas de la tienda oficial, aunque se reporta que un número considerable de usuarios habría descargado al menos una de estas apps.

Después de su descarga e instalación, las apps infectan el sistema objetivo con un troyano desarrollado para realizar fraudes y algunas otras actividades maliciosas relacionadas con publicidad en segundo plano. “Fuera de la vista del usuario se abren páginas web y se hacen múltiples clic en enlaces sin necesidad de interacción del usuario”, menciona el reporte.

Lista de apps infectadas. Fuente: Threatpost

Los expertos en hacking ético afirman que esta clase de troyanos, conocidos como ‘clickers’, están diseñados para generar ingresos por publicidad, inflando el tráfico de algunos sitios web. También mencionan que esta clase de malware puede ser usado para eliminar algunos anuncios legítimos, haciendo que alcancen un límite que los deja fuera de línea.

Posteriormente, un portavoz de la compañía mencionó que las apps fueron eliminadas de la App Store por contar con un código que permite realizar “clics artificiales“, práctica que va en contra de las políticas de Apple. “En Apple realizamos rigurosas auditorías ara detectar aplicaciones que se aprovechan de nuestros usuarios para realizar cualquier tipo de fraude”, agregó el portavoz.

Debido a que Apple no proporciona información acerca del número de descargas en App Store, no es posible conocer el número exacto de usuarios potencialmente afectados. No obstante, si se usan las descargas en Google Play Store como referencia, se puede hacer un cálculo en cierta medida acertado. “El número de descargas de las contrapartes para Android de estas aplicaciones rebasa el millón de usuarios, por lo que los usuarios de iOS afectados podrían oscilar entre los 800 mil y el millón”, afirman los especialistas.

Acorde a especialistas en hacking ético del Instituto Internacional de Seguridad Cibernética (IICS), las 17 apps infestadas de malware fueron colocadas en App Store por el mismo desarrollador, identificado como AppAspect Technologies Pvt, con sede en India. Esta compañía cuenta con casi 30 aplicaciones en Google Play Store, aunque al parecer no se conectan con el servidor malicioso relacionado con las apps para iOS.

Read More

SERVIDORES Y CLIENTES DE AWS AFECTADOS POR UN ATAQUE DDOS MASIVO DURANTE HORAS

CONTENIDO ORIGINAL: https://noticiasseguridad.com/hacking-incidentes/servidores-y-clientes-de-aws-afectados-por-un-ataque-ddos-masivo-durante-horas/

Acorde a especialistas en forense digital, Amazon Web Services (AWS), división de servicios cómputo en la nube del gigante tecnológico, ha sido víctima de un ataque de denegación de servicio (DoS) sostenido. Al parecer, los actores de amenazas mantuvieron el ataque por más de ocho horas.

El ataque afectó al servicio DNS Router 53 de la compañía, aunque se reportaron muchas otras interrupciones en otros servicios. A pesar de que AWS cuenta con su propio sistema de mitigación contra ataques DoS, conocido como Shield Advanced, no fue posible para Amazon detener el ataque por completo.

Otros servicios en la nube, como Google Cloud Platform, también reportaron afectaciones de forma simultánea, aunque los expertos en forense digital aún no se han pronunciado acerca de un posible vínculo entre ambos incidentes. En declaraciones para una plataforma especializada en ciberseguridad, un portavoz de Google mencionó que no tienen evidencia que confirme un ataque DoS en los sistemas de la compañía.

Durante el incidente, miles de usuarios de AWS quedaron imposibilitados para acceder al servicio S3 de la compañía, además de que algunos servicios en la plataforma se mantuvieron dependientes de algunas consultas DNS externas.

En el panel de control de AWS, la compañía publicó una alerta de seguridad mencionando: “Experimentamos errores de forma intermitente entre las 10:30 y las 18:30; desde las 17:00, un número reducido de nombres DNS mostraron un rango de errores más alto. Los problemas ya han sido resueltos”.

Además, la compañía envió un email a sus clientes, informando que la interrupción del DNS fue producida por un ataque DoS. “Shield Advanced jugó un papel determinante en el manejo del incidente, aunque como resultado de este proceso de mitigación algunas consultas legítimas de los clientes fueron tomadas por maliciosas, dejando a los usuarios afectados sin posibilidad de conectarse”, asegura el mensaje.

Los expertos en forense digital del Instituto Internacional de Seguridad Cibernética (IICS) mencionan que, a causa del tamaño de AWS, además de la gran cantidad de tráfico que se distribuye en todo momento, este incidente debió tratarse de un ataque DoS masivo, aunque aún faltan por revelarse muchísimos detalles.

Read More

NUEVA VULNERABILIDAD NFC AFECTA A ANDROID 7, 8 Y 9; GOOGLE NO CORREGIRÁ ESTA FALLA

CONTENIDO ORIGINAL: https://noticiasseguridad.com/vulnerabilidades/nueva-vulnerabilidad-nfc-afecta-a-android-7-8-y-9-google-no-corregira-esta-falla/

Especialistas en análisis de vulnerabilidades reportan el hallazgo de una nueva falla de seguridad en múltiples versiones de Android (reporte completo aquí). Por defecto, ninguna aplicación de Android puede realizar operaciones que impacten de forma negativa en otras apps, en el sistema operativo o el usuario, por lo que actividades como leer o escribir en datos privados, acceder a los archivos de otra app, mantener el dispositivo despierto, entre otras, se encuentran restringidas.

En el informe, los expertos describen una vulnerabilidad en la app Tags, preinstalada en el sistema operativo Android y que se encarga de leer las etiquetas Near Field Communication (NFC), además de su análisis y reenvío de resultados. La vulnerabilidad, identificada como CVE-2019-9295, permitiría a cualquier app no autorizada engañar a Tags para hacerse pasar por una nueva etiqueta NFC, lo cual sería de gran utilidad en múltiples escenarios de ataque.

Esta no es considerada una vulnerabilidad crítica, no obstante, los expertos en análisis de vulnerabilidades consideran que los usuarios de Android, en especial aquellos que no utilizan la versión 10, deben estar consientes de este riesgo de seguridad, pues podría producir errores más severos en el futuro. En un comunicado, Google especificó que la vulnerabilidad sólo fue corregida en Android 10, por lo que la solución no es compatible con versiones anteriores.

Esta vulnerabilidad permite que una aplicación maliciosa simule la recepción de una etiqueta NFC, además de que puede simular cualquier tipo de etiquetas, como registros NDE. La desventaja para los hackers es que se requiere la interacción del usuario para desencadenar los diferentes escenarios de ataque.

En el informe se plantean dos escenarios de ataque principales:

• Una ventana emergente que podría aparecer de forma aleatoria, alertando al usuario sobre el escaneo de una nueva etiqueta NFC (generada por una aplicación maliciosa). El usuario tendría que interactuar con esta ventana emergente para elegir una app que se encargue de esta notificación
• El usuario objetivo escanea una app real. De este modo, la app maliciosa podría interceptar y cambiar el contenido de la etiqueta antes de que sea administrada por la aplicación predeterminada por el sistema operativo. Por ejemplo, un usuario podría escanear una etiqueta de una compañía que contenga un número telefónico; durante el proceso, la app no autorizada cambiará el número telefónico en la etiqueta original sin que el usuario note algún indicio de actividad anómala.

Acorde a los expertos en análisis de vulnerabilidades, cualquiera de los escenarios requiere que los usuarios sean engañados para hacer clic en un enlace que los redirija a una página controlada por los atacantes, les entregue un número erróneo o cualquier otra actividad que sea realizable con etiquetas NFC. Es importante resaltar que, a pesar de que la vulnerabilidad permite falsificar cualquier etiqueta NFC, la necesidad de interacción del usuario reduce su impacto considerablemente.

Los expertos en análisis de vulnerabilidades del Instituto Internacional de Seguridad Cibernética (IICS) mencionan que la actualización de Android 10 que corrige esta falla fue lazada hace aproximadamente un mes. No obstante, muchos dispositivos aún no han implementado la actualización del sistema operativo. Además, la Google ya ha anunciado que la vulnerabilidad no será corregida en versiones anteriores del sistema operativo, por lo que sólo se recomienda precaución a los usuarios y desarrolladores.

Read More

NUEVO ATAQUE DE ENVENENAMIENTO DE CACHÉ AFECTA A CLOUDFLARE, CLOUDFRONT, FASTLY, AKAMAI Y CDN77

CONTENIDO ORIGINAL: https://noticiasseguridad.com/tecnologia/nuevo-ataque-de-envenenamiento-de-cache-afecta-a-cloudflare-cloudfront-fastly-akamai-y-cdn77/

Un grupo de especialistas en seguridad de aplicaciones web de la Universidad de Colonia, Alemania, publicó un reporte en el que se describe una nueva forma de ataque cibernético que abusa de la memoria caché para mostrar a las víctimas páginas falsas de error en lugar del sitio web legítimo.

“Cuando un usuario regresa a un sitio web previamente visitado, normalmente recibe una versión en caché del sitio mediante una red de entrega de contenido (CDN), como Cloudfare”, mencionan los expertos. Durante el ataque, bautizado como Denegación de Servicio por Envenenamiento de Caché (CPDoS), los hackers visitan un sitio web para generar una solicitud de la página web desde la CDN. No obstante, la solicitud contiene un encabezado con alguna de las siguientes tres opciones:

• Un encabezado HTTP de gran tamaño (HHO)
• Un metacaracter HTTP (HMC)
• Anulación de método HTTP (HMO)

Acorde a los expertos en seguridad de aplicaciones web, cualquiera de estos escenarios generará un error en el servidor web. La página de error se almacenará en el caché de la CDN (este es un proceso normal), por lo que terminará siendo entregada a los usuarios. “Esta página de error será enviada a otros nodos de la CDN según se actualicen, por lo que usuarios a nivel mundial del sitio afectado encontrarán el error, simulando una denegación de servicio”, mencionan los expertos.

A pesar de que no hay una verdadera condición de denegación de servicio, este ataque podría afectar las operaciones de un sitio web, su reputación e incluso su nivel de ingresos.

El informe despertó la preocupación de algunos administradores de sitios web, aunque es necesario tomar las cosas con calma e implementar ciertas medidas para prevenir esta condición. La principal medida de prevención es desactivar el almacenamiento en la memoria caché de cualquier página de error HTTP, opción habilitada por defecto en casi cualquier servicio de CDN. De este modo, las páginas de error HTTP no serán nuca replicadas a través de la distribución de contenido.

Además, los expertos en seguridad de aplicaciones web recomiendan a los administradores de sitios web verificar que su proveedor de CDN se ajuste a los protocolos estándar de almacenamiento en caché, además de limitar algunas funciones del caché. Modificar las configuraciones de almacenamiento en caché para mostrar sólo algunas páginas de error (como 404 Not Found y 400 Bad Request) reducirá el impacto de esta clase de ataques.

Los especialistas reportaron en tiempo y forma a las compañías afectadas; gracias a estos reportes, empresas como Amazon y Microsoft han comenzado a implementar algunas medidas para corregir estos errores.

Otras compañías afectadas, como Flask, no se han pronunciado respecto a los reportes, por lo que aún está por verse si los usuarios de sus servicios logran mitigar el riesgo de explotación. Expertos en seguridad de aplicaciones web del Instituto Internacional de Seguridad Cibernética (IICS) recomiendan a los administradores de sitios web que aún tengan dudas sobre este ataque y sus mitigaciones dirigirse directamente al sitio web creado para publicar todos los detalles acerca de esta condición.

Read More

THESE 17 IOS APPS CONTAIN MALWARE, UNINSTALL THEM IMMEDIATELY

ORIGINAL CONTENT: https://www.securitynewspaper.com/2019/10/24/these-17-ios-apps-contain-malware-uninstall-them-immediately/

A group of ethical hacking experts has discovered a malware variant present in at least 17 apps for Apple, all available in the App Store. The company has started to remove malicious apps from the official store, although it is reported that a considerable number of users would have downloaded at least one of these apps.

After downloading and installing, the apps infect the target system with a Trojan developed to perform fraud and some other malicious activities related to background advertising. “Out of the user’s view, web pages are opened and multiple links are clicked without user interaction,” the report mentions.

List of infected apps. Source: Threatpost

Ethical hacking experts claim that these kinds of malwares, known as ‘clicker Trojan’, were designed to generate advertising revenue, inflating traffic from some websites. They also mention that this kind of malware can be used to remove some legitimate advertisements, causing them to reach a limit that leaves them offline.

Subsequently, a company spokesperson mentioned that the apps were removed from the App Store because they have a code that allows you to perform “artificial clicks”, a practice that goes against Apple’s policies. “At Apple, we conduct rigorous audits to detect apps that take advantage of our users to perform any kind of fraud,” the spokesperson added.

Because Apple does not provide information about the number of downloads in the App Store, it is not possible to know the exact number of potentially affected users. However, if you use downloads in the Google Play Store as a reference, you can make a calculation to some extent correct. “The number of downloads of the Android counterparts of these apps exceeds one million users, so affected iOS users could range from 800 thousand to one million”,” the specialists say. According to ethical hacking specialists from the International Institute of Cyber Security (IICS), the 17 malware-infested apps were placed in the App Store by the same developer, identified as AppAspect Technologies Pvt, based in India. This company has almost 30 apps in the Google Play Store, although apparently they don’t connect to the malicious server related to iOS app

Read More

AMAZON WEB SERVICES SERVERS AND CUSTOMERS AFFECTED BY A MASSIVE DDOS ATTACK FOR HOURS

ORIGINAL CONTENT: https://www.securitynewspaper.com/2019/10/24/amazon-web-services-servers-and-customers-affected-by-a-massive-ddos-attack-for-hours/

According to digital forensics specialists, Amazon Web Services (AWS), the technology giant’s cloud computing services division, has been the victim of a sustained denial of service (DoS) attack. Apparently, the threat actors kept the attack for more than eight hours.

The attack affected the company’s DNS Router 53 service, although many other outages were reported in other services. Although AWS has its own DoS attack mitigation system, known as Shield Advanced, it was not possible for Amazon to stop the attack altogether.

Other cloud services, such as the Google Cloud Platform, also reported simultaneous impacts, although digital forensics experts have not yet spoken out about a possible link between the two incidents. Speaking for a platform specializing in cybersecurity, a Google spokesperson mentioned that they have no evidence to confirm a DoS attack on the company’s systems.

During the incident, thousands of AWS users were made unable to access the company’s S3 service, and some services on the platform remained dependent on some external DNS queries.

On the AWS dashboard, the company issued a security alert mentioning: “We experienced errors intermittently between 10:30 and 18:30; since 17:00, a small number of DNS names showed a higher range of errors. The problems have already been solved.”

In addition, the company sent an email to its customers, informing them that the DNS outage was caused by a DoS attack. “Shield Advanced played a decisive role in handling the incident, although as a result of this mitigation process some legitimate queries from customers were taken by malicious, leaving affected users unable to connect”, secures the message.

The International Institute of Cyber Security (IICS) digital forensics experts mention that because of the size of AWS, in addition to the large amount of traffic being distributed at all times, this incident had to be a massive DoS attack, although it was still a massive DoS attack, although it was still much of the details are missing from being revealed.

Read More

NEW NFC VULNERABILITY AFFECTS ANDROID 7, 8 AND 9; GOOGLE WON’T FIX THIS FLAW

ORIGINAL CONTENT: https://www.securitynewspaper.com/2019/10/24/new-nfc-vulnerability-affects-android-7-8-and-9-google-wont-fix-this-flaw/

Vulnerability testing specialists report the finding of a new security flaw across multiple versions of Android OS (full report here). By default, no Android app can perform operations that negatively impact other apps, the operating system or the user, so activities such as reading or writing to private data, accessing the files of another app, maintaining the device awake, among others, are restricted.

In the report, experts describe a recently found vulnerability in the Tags app, pre-installed on the Android operating system and that reads Near Field Communication (NFC) tags, in addition to its analysis and forwarding of results. The vulnerability, tracked as CVE-2019-9295, would allow any unauthorized app to trick Tags into impersonate a new NFC tag, which would be very useful in multiple attack scenarios.

This is not considered a critical vulnerability, however, vulnerability testing experts believe that Android users, especially those who do not use version 10, should be aware of this security risk, as it could be the cause of more severe security flaws in the future. In a statement, Google specified that the vulnerability was only fixed on Android 10, so the solution is not backward compatible.

This vulnerability allows a malicious application to simulate receiving an NFC tag, and can simulate any type of tags, such as NDE records. The downside for hackers is that user interaction is required to trigger different attack scenarios.

The report raises two main attack scenarios:

• A pop-up window that could appear randomly, alerting the user to the scan of a new NFC tag (generated by a malicious application). The user would have to interact with this pop-up to choose an app that takes care of this notification
• The target user scans a real app. This could allow the malicious app to intercept and change the contents of the tag before it is managed by the default application by the operating system. For example, a user might scan a company label that contains a phone number; during the process, the unauthorized app will change the phone number on the original label without the user noticing any hint of anomalous activity.

According to vulnerability testing experts, either scenario requires users to be tricked into clicking on a link that redirects them to a page controlled by attackers, gives them the wrong number or any other activity that can be embeddable with NFC tags. It is important to note that even though the vulnerability allows forging any NFC tag, the need for user interaction reduces its impact considerably.

Vulnerability testing experts from the International Institute of Cyber Security (IICS) mention that the Android 10 update that fixes this flaw was laced about a month ago. However, many devices have not yet implemented the operating system update. In addition, Google has already announced that the vulnerability will not be fixed in previous versions of the operating system, so caution is only recommended for users and developers.

Read More

NEW CACHE POISONING ATTACK AFFECTS CLOUDFLARE, CLOUDFRONT, FASTLY, AKAMAI, AND CDN77

ORIGINAL CONTENT: https://www.securitynewspaper.com/2019/10/24/new-cache-poisoning-attack-affects-cloudflare-cloudfront-fastly-akamai-and-cdn77/

A group of web application security specialists from the Cologne University, Germany, published a report describing a new form of cyberattack that abuses the cache to show victims fake error pages instead of legitimate websites.

“When a user returns to a previously visited website, they typically receive a cached version of the site using a content delivery network (CDN), such as Cloudfare,” the experts mention. During the attack, dubbed Cache Poisoning Denial of Service (CPDoS), hackers visit a website to generate a web page request from the CDN. However, the request contains a header with one of the following three options:

• An HTTP Header Oversize (HHO)
• An HTTP Meta Character (HMC)
• An HTTP Method Override (HMO)

According to web application security experts, any of these scenarios will produce a fail on the web server. The error page will be cached on the CDN (this is a normal process), so it will end up being delivered to users. “This error page will be sent to other CDN nodes as they are refreshed, so globally users of the affected site will face with the error page, simulating a denial of service“, the experts mention.

Although there is no true denial-of-service condition, this attack could affect a website’s operations, reputation, and even revenue level.

The report raised the concerns of some website administrators, although it is necessary to take things easy and implement certain measures to prevent this condition. The main prevention measure is to disable caching of any HTTP error page, an option enabled by default on almost any CDN service. This way, HTTP error pages will not be replicated through content distribution.

In addition, web application security experts recommend that website administrators verify that their CDN provider conforms to standard caching protocols, as well as limiting some cache features. Modifying caching settings to show only a few error pages (such as 404 Not Found and 400 Bad Request error pages) will reduce the impact of such attacks.

Specialists reported in a timely manner to the affected companies; thanks to these reports, companies like Amazon and Microsoft have started implementing some steps to fix these errors.

Other affected companies, such as Flask, have not commented on the reports, so it remains to be seen whether users of their services manage to mitigate the risk of exploitation. International Institute of Cyber Security (IICS) web application security experts recommend website administrators who still have doubts about this attack and their mitigations go directly to the website created to publish all the details about this condition.

Read More

PWNAGOTCHI WIFI HACKER: CREE SU PROPIO JUGUETE PARA HACKEAR REDES WIFI

CONTENIDO ORIGINAL: https://noticiasseguridad.com/tecnologia/pwnagotchi-wifi-hacker-cree-su-propio-juguete-para-hackear-redes-wifi/

La popular mascota virtual de los años 90 ha evolucionado. Expertos en hacking ético reportan la aparición de Pwnagotchi, una “versión modernizada” del popular juguete Tamagotchi, ensamblado en un popular modelo de computadora de placa única capaz de interceptar paquetes de red para posteriormente acceder a una red inalámbrica.

Pwnagotchi no estará a la venta en ninguna tienda, sitio de e-commerce, foro de dark web, etc. No obstante, debido a que el código fuente e instrucciones para el funcionamiento de esta mascota virtual estarán disponibles en línea, cualquier usuario con los conocimientos y recursos necesarios podrá ensamblar su propia “mascota hacker” por sí mismo (documento completo aquí).

Acorde a los responsables del Proyecto Pwnagotchi, este ser virtual opera bajo la misma premisa del clásico Tamagotchi, sólo que, a diferencia de su contraparte de los 90, Pwnagotchi  se alimenta exclusivamente de los paquetes enviados por los usuarios conectados a una red inalámbrica.

“Al igual que el Tamagotchi original, Pwnagotchi cuenta con algoritmos de cambio de humor, niveles de felicidad y desarrollo. La principal diferencia es que nuestra versión de la mascota virtual sólo ingiere paquetes de red que los usuarios de conexiones inalámbricas envían en la etapa de negociación de nuevas conexiones (proceso conocido como handshake)”, mencionan los creadores en su sitio web.

Esta mascota virtual no selecciona las claves WPA independientemente. En su lugar, los creadores mencionan que Pwnagotchi se ayuda de una red neuronal con capacidades de aprendizaje automático, aunque no brindaron mayores detalles acerca de esta característica. Además, los autores del código mencionan que se lanzarán plugins adicionales en el futuro.

Los creadores de Pwnagotchi afirman que la idea nació durante algún día en el que no había gran cosa qué hacer. “Decidimos crear algo nuevo a partir de los componentes que teníamos a la mano; la base de esta mascota hacker es básicamente un dispositivo de placa única Raspberry Pi Zero W”, mencionan en su sitio web.

Es importante señalar que, acorde a los expertos en hacking ético que desarrollaron Pwnagotchi, cualquier PC de placa única de Raspberry es útil para integrar el sistema, incluso los modelos más antiguos aún disponibles en el mercado. No obstante los expertos no mencionaron si es posible elaborar un Pwnagotchi con dispositivos similares.

Acorde a expertos en hacking ético del Instituto Internacional de Seguridad Cibernética (IICS), el software de Pwnagotchi puede ser usado en cualquier entorno Linux moderno, además de que el equipo de cómputo de quien desee integrar su propio Pwnagotchi no debe contar con especificaciones de hardware muy avanzadas.

Read More

ALTOS EJECUTIVOS DE COMPAÑÍAS QUE VENDAN O HAGAN USO INDEBIDO DE DATOS PERSONALES ENFRENTARÁN HASTA 20 AÑOS DE PRISIÓN Y MULTAS DE 5 MDD. NUEVO PROYECTO DE LEY

CONTENIDO ORIGINAL: https://noticiasseguridad.com/seguridad-informatica/altos-ejecutivos-de-companias-que-vendan-o-hagan-uso-indebido-de-datos-personales-enfrentaran-hasta-20-anos-de-prision-y-multas-de-5-mdd-nuevo-proyecto-de-ley/

Una nueva medida contra el mal uso de información personal involucra severas sanciones para los ejecutivos de cualquier compañía. Acorde a expertos en protección de datos, el Congreso de E.U. ha propuesto un nuevo proyecto legislativo conocido como “Ley Cuide su Propio Negocio”. Según lo establecido en este proyecto, los altos ejecutivos de cualquier compañía que incurran en prácticas erróneas de manejo de información enfrentarían largo tiempo en la cárcel, además de multas millonarias.

El proyecto fue presentado por el senador demócrata Ron Wyden el pasado 17 de octubre, y exige que las compañías elaboren reportes anuales sobre políticas y prácticas de protección de datos, avalados por sus directores ejecutivos, para demostrar el cumplimiento con las leyes de seguridad de la información. Esta ley formaría parte de otro proyecto presentado en noviembre de 2018, conocido como Ley de Protección de Datos del Consumidor.

Cualquier compañía privada que opere información de más de 50 millones de usuarios, o cualquier empresa que controle información de al menos un millón de usuarios y que obtenga ingresos de mil millones de dólares anuales, tendrá que ajustarse a esta ley.

Según reportan los expertos en protección de datos, si una compañía presenta intencionalmente un reporte con información falsa, será objeto de una multa de hasta 5 millones de dólares, además de que el CEO responsable del informe podría ser sentenciado hasta por 20 años de prisión. La ley también establece que los usuarios de estas compañías podrán exigir detalles sobre la información recopilada, su uso y detalles sobre terceros con acceso a dicha información.

Otro punto importante que incluye el proyecto de ley es la creación de un sitio web para que los usuarios de cada compañía personalicen los permisos de acceso y recopilación de información personal. “Los usuarios al fin tendrán el control sobre qué información compartirán con las compañías”, afirma el senador Wyden.

Este no es el primer proyecto en su tipo. Acorde a los expertos en protección de datos del Instituto Internacional de Seguridad Cibernética (IICS), la Legislatura Estatal de Nueva York aprobó recientemente el proyecto conocido como Ley para Detener el Hacking y Mejorar la Seguridad Digital de los Datos (SHIELD, por sus siglas en inglés). La intención de esta ley es aportar total transparencia en el uso de datos personales, además de establecer penalizaciones más estrictas contra las compañías que no cumplan debidamente con estas medidas.

Read More

BOMBILLAS INTELIGENTES PHILIPS HUE Y LIFX PUEDEN SER HACKEADAS PARA CONTROLAR SU HOGAR Y SU VIDA

CONTENIDO ORIGINAL: https://noticiasseguridad.com/tecnologia/bombillas-inteligentes-philips-hue-y-lifx-pueden-ser-hackeadas-para-controlar-su-hogar-y-su-vida/

Un equipo de especialistas en forense digital de la Universidad de Texas publicó un informe donde se detalla un método utilizado por actores de amenazas para hackear bombillas inteligentes (smart bulbs) y extraer información del entorno de smart home donde estos dispositivos están conectados, incluyendo imágenes y videos de cámaras de seguridad.

El ataque es considerablemente serio, pues los comandos necesarios para su ejecución se ingresan usando las redes WiFi de un hogar inteligente, por lo que las víctimas no encontrarán indicios de actividad anómala.

Acorde a los expertos en forense digital, un smart bulb permite al usuario modificar la intensidad de la luz, cambiar el color o programar una hora de apagado usando una app para móviles u otros dispositivos con conexión a Internet. Entre los dispositivos analizados por los expertos se encuentran Philips Hue, Trådfri, de Ikea, y las smart bulbs de Lifx.

La mayoría de los smart bulbs cuentan con tecnología infrarroja para cumplir con algunas de sus funciones. Acorde a este reporte, un hacker podría abusar de esta función para extraer información de los dispositivos conectados a la misma red que el smart bulb, creando un “canal de comunicación secreto” entre el smart bulb y un equipo de detección de señal infrarroja controlado por el hacker.

Los expertos añaden que la extracción de información requiere de la instalación remota de una variante de malware en el smartphone o computadora de la víctima; gracias a esto, el hacker podrá obtener acceso a datos sensibles que serían codificados y posteriormente transmitidos mediante el canal infrarrojo secreto mencionado anteriormente.

Para empeorar un poco la situación, muchos de estos dispositivos no solicitan autorización de ningún tipo para ser controlados, por lo que cualquier aplicación móvil de este tipo puede comunicarse con cualquier smart bulb, agregan los expertos.

Especialistas en forense digital del Instituto Internacional de Seguridad Cibernética (IICS) aseguran que la mayoría de los usuarios ignoran que sus smart bulbs cuentan con características de infrarrojo, así como ignoran el hecho de que cualquier usuario con el conocimiento suficiente puede tomar control de este espectro invisible. Virtualmente cualquier archivo almacenado en los dispositivos del usuario objetivo está expuesto, por lo que los expertos solicitan encarecidamente a las compañías fabricantes establecer mejores medidas de seguridad para esta clase de dispositivos.

Read More

IMPORTANTE EMPRESA MANUFACTURERA CIERRA COMPLETAMENTE SUS OPERACIONES DEBIDO A ATAQUE DE RANSOMWARE

CONTENIDO ORIGINAL: https://noticiasseguridad.com/hacking-incidentes/importante-empresa-manufacturera-cierra-completamente-sus-operaciones-debido-a-ataque-de-ransomware/

Especialistas en seguridad informática reportan una seria infección de ransomware en la compañía de automatización Pilz, con sede en Alemania. Por más de una semana, las operaciones de la empresa se han visto interrumpidas debido a la infección con la peligrosa variante de malware de cifrado conocida como BitPaymer.

En su sitio web, la compañía publicó un comunicado en el que se menciona que: “Pilz ha sido víctima de un ciberataque dirigido específicamente contra nuestros sistemas que ha paralizado las operaciones en todos los puestos de trabajo basados en servidores y equipo de cómputo, incluyendo las redes de comunicación de la compañía”. Por ahora, la compañía trabaja a marchas forzadas para cumplir con sus compromisos previamente establecidos, además de restablecer todas las operaciones afectadas.

Este lunes 21 de octubre se cumplió una semana después de la detección de la infección. A pesar de que la compañía ya ha logrado restablecer algunas de sus funciones (entregas programadas, entre otras), muchos de los sistemas siguen paralizados. “Hemos integrado un equipo de seguridad informática para resolver algunos problemas técnicos, identificar el origen del ataque, entre otras actividades”, menciona una de las últimas actualizaciones sobre el incidente.

Acorde a lo mencionado por los funcionarios de la compañía, se espera que el restablecimiento total de las operaciones de Pilz aún demore algunos días más.

En declaraciones para la plataforma especializada ZDNet, el experto en seguridad informática Maarten van Dantzig mencionó que este es el típico ataque vinculado al grupo de hackers conocido como BitPaymer. El experto afirma que descubrió algunas muestras del malware usado por este grupo en la plataforma VirusTotal, incluyendo la nota de rescate usada durante este incidente, con detalles personalizados relacionados con la compañía alemana.

Aunque se desconoce el monto del rescate exigido a Pilz, Van Dantzig agrega que los operadores de esta variante de ransomware han llegado a exigir rescates de hasta un millón de dólares en criptomoneda. Finalmente, el experto añade que, por lo general, el ransomware BitPaymer es entregado a las víctimas usando el troyano conocido como Dridex.

Especialistas del Instituto Internacional de Seguridad Cibernética (IICS) agregan que este troyano se dirige contra usuarios de Windows desprevenidos mediante un documento adjunto enviado por email. Al ser abierto, Dridex es descargado, abriendo la puerta a otras amenazas, como en el caso de la compañía afectada.

Read More

PWNAGOTCHI WIFI HACKER: A DO IT YOURSELF WIFI NETWORK HACKING TOY

ORIGINAL CONTENT: https://www.securitynewspaper.com/2019/10/23/pwnagotchi-wifi-hacker-a-do-it-yourself-wifi-network-hacking-toy/

The popular virtual pet of the 90s has evolved. Experts in ethical hacking report the emergence of Pwnagotchi, a “modernized version” of the popular Tamagotchi toy, assembled into a popular single-board computer model capable of intercepting network packets to subsequently access to wireless networks.

Pwnagotchi will not be for sale in any store, e-commerce website, dark web forum, etc. However, because the source code and instructions for the operation of this virtual pet will be available online, any user with the necessary knowledge and resources will be able to assemble their own “hacker pet” by themselves (complete paper here).

According to the managers of the Pwnagotchi Project, this virtual being operates under the same premise of the classic Tamagotchi; only that, unlike its counterpart of the 90s, Pwnagotchi feeds exclusively on packets sent by users connected to a wireless network.

“Just like the original Tamagotchi, Pwnagotchi features mood-shifting algorithms, happiness and development levels. The main difference is that our version of the virtual pet only ingests network packets that wireless connection users send during new connection negotiation stage (process known as handshake)”, mentioned the creators on their web site.

This virtual pet does not select WPA keys independently. Instead, the creators mention that Pwnagotchi gets help from a neural network with machine learning capabilities, although they did not provide further details about this feature. In addition, the authors of the code mention that additional plugins will be released in the future.

The creators of Pwnagotchi claim that the idea was born during some day when there was not much to do. “We decided to create something new from the components we had at hand; the basis of this pet hacker is basically a Raspberry Pi Zero W single board device”, mentioned on their website.

It is important to note that, according to the ethical hacking experts who developed Pwnagotchi, any Raspberry single board PC is useful for integrating the system, even the oldest models still available on the market. However, experts did not mention whether it is possible to develop a Pwnagotchi using similar devices as basis.

According to experts in ethical hacking from the International Institute of Cyber Security (IICS), Pwnagotchi software can be used in any modern Linux environment, plus the computer equipment of those who wish to integrate their own Pwnagotchi should not have very advanced hardware specifications.

Read More

CEOS OF COMPANIES THAT SELL OR MISUSE PERSONAL DATA WILL FACE UP TO 20 YEARS IN PRISON AND 5M USD FINES. NEW LAW COMING

ORIGINAL CONTENT: https://www.securitynewspaper.com/2019/10/23/ceos-of-companies-that-sell-or-misuse-personal-data-will-face-up-to-20-years-in-prison-and-5m-usd-fines-new-law-coming/

A new measure against misuse of personal information involves severe penalties for executives of any company. According to data protection experts, the US Congress has proposed a new bill known as the “Mind Your Own Business Act”. As set forth in this project, senior executives of any company who engage in erroneous information management practices would face long jail time in addition to million-dollar fines.

The bill was presented by Democratic Sen. Ron Wyden last October 17, and requires companies to elaborate annual reports on their data protection policies and practices, endorsed by their CEOs, to demonstrate compliance with information security laws. This law would be part of another bill introduced in November 2018, known as the Consumer Data Protection Act.

Any private company that trades information from more than 50 million users, or any company that controls information from at least one million users and which earns revenue of $1 billion USD annually, will have to comply with this law.

As reported by data protection experts, if a company intentionally submits a report with false information, it will be fined up to $5 million USD, and the CEO responsible for the report could be sentenced for up to 20 years of prison. The law also states that users of these companies can require details about the information collected, its use and details about third parties with access to such information.

Another important point included in the bill is the creation of a website for users of each company to customize the permissions of access and collection of personal information. “Users will finally have control over what information they will share with the companies,” says Senator Wyden.

This is not the first project of its kind. According to data protection experts from the International Institute of Cyber Security (IICS), the New York State Legislature recently passed the bill known as the Stop Hacking and Improving Digital Data Security Act (SHIELD). The intention of this law is to provide full transparency in the use of personal data, in addition to establishing stricter penalties against companies that do not comply with these measures properly.

Read More

PHILIPS HUE AND LIFX SMART BULBS COULD BE HACKED TO CONTROL YOUR SMART HOME AND YOUR LIFE

ORIGINAL CONTENT: https://www.securitynewspaper.com/2019/10/23/philips-hue-and-lifx-smart-bulbs-could-be-hacked-to-control-your-smart-home-and-your-life/

A team of digital forensics specialists from the University of Texas released a report detailing a method used by threat actors to hack smart bulbs and extract information from the smart home environment where these devices are connected, including images and videos from security cameras and other devices, such as smartphones or laptops.

The attack is considerably serious, as the commands needed to execute it are entered using the WiFi networks of a smart home, so victims will find no signs of abnormal activity.

According to digital forensics experts, a smart bulb allows the user to modify the light intensity, change the color or set a turn off time using a mobile app or other devices with an Internet connection. Among the devices analyzed by the experts are Philips Hue, Ikea’s Trådfri, and Lifx’s smart bulbs.

Most smart bulbs feature infrared technology to fulfill some of their functions. According to this report, a hacker could abuse this feature to extract information from devices connected to the same network as the smart bulb, creating a “secret communication channel” between the targeted bulb and infrared signal detection equipment controlled by the hacker.

Experts add that extracting information requires remote installation of a malware variant on the victim’s smartphone or computer; thanks to this, the hacker will be able to access sensitive data that would be encoded and subsequently transmitted via the secret infrared channel mentioned above.

To make the situation a little worse, many of these devices do not request authorization of any kind to be controlled, so any such mobile application can communicate with any smart bulb, experts add.

International Institute of Cyber Security (IICS) digital forensics specialists claim that most users ignore that their smart bulbs feature infrared capabilities, as well as ignore the fact that any user with the sufficient knowledge can take control of this invisible spectrum. Virtually any file stored on the target user’s devices is exposed, so experts strongly ask manufacturer companies to establish better security measures for this kind of devices.

Read More

MAJOR MANUFACTURING COMPANY COMPLETELY SHUT DOWN ITS OPERATIONS FOR WEEKS DUE TO RANSOMWARE ATTACK

ORIGINAL CONTENT: https://www.securitynewspaper.com/2019/10/23/major-manufacturing-company-completely-shut-down-its-operations-for-weeks-due-to-ransomware-attack/

Information security specialists reported a serious ransomware infection at automation company Pilz, based in Germany. For more than a week, the company’s operations have been disrupted due to infection with the dangerous encryption malware variant known as BitPaymer.

On its website, the company released a statement that says: “Pilz has been the victim of a cyberattack specifically targeting our systems; it has crippled operations in all our computer and server-based jobs, including the company’s communication networks.” For now, the company is working forced march to meet its pre-established commitments, in addition to restoring all affected operations.

This Monday, October 21, it was completed one week after the infection was detected. Although the company has already managed to restore some of its functions (scheduled deliveries, among others), many of the systems remain paralyzed. “We have integrated an information security team to resolve some technical issues, identify the source of the attack, among other activities,” as mentions one of the latest updates on the incident.

As mentioned by company officials, the full re-establishment of Pilz’s operations is expected to take a few more days.

Speaking to the specialized platform ZDNet, information security expert Maarten van Dantzig mentioned that this is the typical attack linked to the hacker group known as BitPaymer. The expert claims that he discovered some samples of the malware used by this group on the VirusTotal platform, including the ransom note used during this incident, with custom details related to the German company.

Although the amount of ransom demanded from Pilz is unknown, Van Dantzig adds that operators of this ransomware variant have come to demand ransoms of up to $1 million USD in cryptocurrency. Finally, the expert adds that, usually, the BitPaymer ransomware is delivered to victims using the Trojan known as Dridex.

Specialists from the International Institute of Cyber Security (IICS) add that this Trojan is dropped at unsuspecting Windows users via an attached document sent by email. When opened, Dridex is unloaded, opening the door to other threats, as in the case of the affected company.

Read More

REGISTROS MÉDICOS DE MILLONES DE PERSONAS EN TODO EL MUNDO EXPUESTOS POR SOFTWARE INSEGURO

CONTENIDO ORIGINAL: https://noticiasseguridad.com/hacking-incidentes/registros-medicos-de-millones-de-personas-en-todo-el-mundo-expuestos-por-software-inseguro/

Un grupo de especialistas en seguridad informática de la plataforma especializada WizCase (reporte completo aquí) ha reportado el hallazgo de múltiples filtraciones de datos desde sitios web de medicina de todas partes del mundo. La información comprometida incluye recetas médicas, diagnósticos, números de Seguridad Social y, en muchos casos, nombres completos y domicilio.

Todas las bases de datos fueron encontradas sin asegurar, ni siquiera se necesitaba de una contraseña para acceder a la información, dejando expuestos a millones de pacientes.

Avishai Efrat, líder de la investigación, descubrió al menso nueve bases de datos médicos sin asegurar en países como Arabia Saudita, Brasil, Canadá, China, Estados Unidos, Francia y Nigeria. Aunque varían en cada caso particular, en general los detalles expuestos incluyen:

• Nombres completos
• Números telefónicos
• Domicilio
• Dirección email
• Lugar de trabajo
• Números de seguro social
• Diagnósticos
• Recetas médicas
• Resultados de análisis clínicos

Infografía de las filtraciones. Fuente: WizCase

Respecto a las compañías operadoras de estas bases de datos expuestas, los expertos en seguridad informática también lograron establecer un perfil detallado, descrito de forma breve en los siguientes párrafos.

• Arabia Saudita: La compañía de software aplicado a la salud Stella Technology expuso más de 4 GB de información perteneciente a cerca de 300 mil pacientes, incluyendo múltiples detalles personales, en un servidor Elasticsearch
• Brasil: La base de datos expuesta en territorio brasileño, operada por la compañía Biosoft Medical Software, cuenta con 3 GB de información, equivalente a casi un millón 200 mil registros pertenecientes a pacientes de todo el país
• Canadá: En el caso de Canadá, la compañía involucrada es Dental Software, con su solución ClearDent. En este caso se descubrió una base de datos de 8 MB, equivalente a casi 60 mil pacientes expuestos, en un servidor Elasticsearch
• China: La Facultad de Medicina de la Universidad de Tsinghua expuso una base de datos de 650 MB, equivalentes a 60 mil registros de pacientes del Hospital Universitario de Tsinghua y de otros centros médicos en diversas ciudades chinas
• Estados Unidos: Deep Think Health, compañía que proporciona una plataforma de aprendizaje automático para la industria médica, expuso una base de datos de 2.8 GB, lo que representa más de 700 mil registros sobre pacientes y personal médico en un servidor Elasticsearch. Los casos más sensibles involucran la exposición de diagnósticos y tratamiento de pacientes con cáncer
• Francia: La compañía involucrada en territorio francés es Essilor, dedicada al diseño y manufactura de aparatos oftalmológicos. La base de datos comprometida consta de 5.7 GB, que incluyen detalles de miles de pacientes, optometristas y empleados de diversas áreas de la compañía
• Nigeria: Todos los resultados de la Encuesta de Indicadores e Impacto del VIH/SIDA 2018 fueron expuestos en el país africano. En total, la base de datos consta de 1 GB, equivalentes a más de 88 mil registros.

Registro de Encuesta sobre VIH/SIDA en Nigeria. Fuente: WizCase

Acorde a los expertos en seguridad informática, debido a que la mayoría son servicios prestados por terceros, lo más probable es que las personas afectadas ni siquiera sepan que sus datos están en manos de estas compañías. Sin importar si estamos al tanto o no, los riesgos de seguridad son reales; entre estos riesgos se encuentran prácticas ampliamente conocidas, como el phishing, las campañas de emails de extorsión, fraudes telefónicos y por email, y robo de identidad.

Miles de fotografías de recetas médicas expuestas. Fuente: WizCase

La intervención de las compañías externas dificulta el proceso de contención de esta clase de incidentes, no obstante, expertos en seguridad informática del Instituto Internacional de Seguridad Cibernética (IICS) aconsejan a cualquier usuario potencialmente afectado seguir algunos consejos simples. Es necesario ignorar cualquier email sospechoso o que incluya enlaces a sitios externos, pues seguramente ya se están desplegando campañas masivas de phishing usando los datos expuestos. Además, recuerde que nunca se debe revelar información personal vía correo electrónico, pues ninguna compañía legítima solicita datos personales por este medio. El monitoreo continuo de sus cuentas en línea y estados de cuenta bancarios también es una buena alternativa.

Read More

LOS SERVIDORES DE NORDVPN FUERON HACKEADOS Y EL TRÁFICO DE USUARIOS RESULTÓ EXPUESTO

CONTENIDO ORIGINAL: https://noticiasseguridad.com/hacking-incidentes/los-servidores-de-nordvpn-fueron-hackeados-y-el-trafico-de-usuarios-resulto-expuesto/

La compañía de servicios de red privada virtual (VPN) NordVPN ha revelado un incidente de hacking ocurrido el año pasado. Acorde a expertos en seguridad de aplicaciones web, en marzo de 2018 un actor de amenazas irrumpió en uno de los servidores de la compañía, ubicado en Finlandia, exponiendo algunos datos sobre los hábitos de navegación de sus clientes.

NordVPN afirma que el servidor no contenía registros de actividad, nombres de usuario ni contraseñas. No obstante, el hacker sí pudo acceder a una lista de sitios visitados durante el tiempo que duró la intrusión, aunque el contenido de dichos sitios web se encuentra protegido con cifrado.

Los servicios de VPN se han vuelto muy populares durante los últimos dos años, aunque muchos usuarios de Internet siguen sin saber en qué consisten exactamente. Los expertos en seguridad de aplicaciones web mencionan que un servicio VPN funciona enviando el tráfico de Internet de los usuarios a través de servidores en múltiples ciudades o países para enmascarar los hábitos de navegación, fortaleciendo la privacidad en línea.

Tom Okman, asesor tecnológico de NordVPN, mencionó: “El responsable del ataque podría haberse infiltrado en el servidor especificado, interceptando sólo el tráfico y el nombre de los sitios web visitados durante un corto periodo de tiempo”.

NordVPN también mencionó que el servidor al que cada usuario se conecta cambia aproximadamente cada cinco minutos, aunque los usuarios pueden elegir en qué país establecer la conexión. En otras palabras, los usuarios podrían haber estado expuestos, pero por periodos de tiempo muy breves y de manera intermitente. Se estima que la mayoría de los usuarios expuestos se encuentra en Finlandia, donde se ubica el servidor.

Algunos expertos en seguridad de aplicaciones web comenzaron a divulgar el incidente durante el fin de semana pasado. Además, en el mensaje publicado por NordVPN se menciona que la intrusión podría haber durado meses y es probable que se haya presentado debido a que se instaló un sistema de acceso remoto muy poco seguro en el servidor comprometido.

Se calcula que el servidor permaneció comprometido desde el 31 de enero hasta el 20 de marzo de 2018, aunque el hacker sólo habría violado la seguridad de la implementación en una ocasión durante el mes de marzo.

Respecto a posibles ataques, la compañía afirma que la información almacenada en el servidor comprometido no puede ser usada para descifrar el tráfico de otros servidores bajo su control. Aunque NordVPN menciona que era posible usar una clave de cifrado robada para desplegar un ataque Man-in-The-Middle (MiTM), la complejidad de este ataque reduce al mínimo las posibilidades de ejecución, además de que las claves de cifrado posiblemente comprometidas ya han sido revocadas.

Como medida de seguridad adicional, NordVPN terminó su relación laboral con la compañía encargada del servidor comprometido.

Expertos en seguridad de aplicaciones web del Instituto Internacional de Seguridad Cibernética (IICS) mencionan que la compañía se encuentra informando a los clientes sobre el incidente vía email, aunque sólo como una formalidad, pues la compañía insiste en que esto no puede ser considerado como un incidente de hacking: “Esto es más bien una violación de seguridad aislada. No se ha comprometido la información de ningún usuario”, concluye Okman.

Read More