Blog de Ciberseguridad
La Oficina del Fiscal General del estado de Maine suspendió temporalmente el acceso público a su portal de notificación de brechas de datos luego de detectar reportes fraudulentos que atribuían incidentes de seguridad a VRChat y Discord. Las autoridades eliminaron los registros y anunciaron una revisión de los procedimientos de publicación.
Una vulnerabilidad crítica de ejecución remota de código en Ivanti Sentry comenzó a ser explotada poco después de la publicación de detalles técnicos y una prueba de concepto. La agencia de ciberseguridad de los EE.UU. (CISA) incorporó la falla a catálogo de vulnerabilidades explotadas y ordenó a las agencias federales de ese país aplicar las mitigaciones en un plazo de tres días.
Además: alertan por sistemas de monitoreo de tanques de combustibles expuesto a internet; WhatsApp acusa a software espía de infringir sentencia judicial; 20 mil cuentas de Instagram potencialmente comprometidas; incidente en fintech afecta a clientes de banco en Puerto Rico; y más.
El Programa Mundial de Alimentos de las Naciones Unidas confirmó un incidente de seguridad que comprometió información personal almacenada en una aplicación de autoinscripción utilizada en Gaza. La organización suspendió temporalmente la plataforma mientras investiga el alcance del acceso no autorizado.
La fintech Evertec informó que detectó un acceso no autorizado a determinados sistemas que permitió la obtención de información relacionada con tarjetas de pago de clientes de Banco Popular de Puerto Rico. La compañía activó medidas de respuesta, notificó a las entidades afectadas y continúa la investigación del incidente.
GitHub, Microsoft y RubyGems anunciaron nuevas medidas de seguridad destinadas a limitar riesgos asociados a dependencias, paquetes y extensiones recientemente publicadas. Los cambios incorporan aprobaciones explícitas, retrasos en actualizaciones automáticas y períodos de espera para nuevas versiones.
Agencias federales de Estados Unidos emitieron una alerta conjunta sobre ataques en curso contra sistemas automáticos de medición de tanques de combustibles (ATG) conectados a Internet. Datos de Shadowserver identificaron más de mil dispositivos expuestos en el mundo, los cuales son utilizados en sectores de infraestructura crítica.
WhatsApp informó que detectó y bloqueó recientes intentos de ingeniería social vinculados a NSO Group, empresa desarrolladora del software espía Pegasus. Meta sostiene que estas acciones violan una orden judicial permanente que prohíbe a la compañía atacar la plataforma o a sus usuarios y anunció nuevas medidas legales.
CVE Lite CLI, una herramienta gratuita y de código abierto adoptada al proyecto OWASP Incubator, permite analizar dependencias de proyectos JavaScript y TypeScript directamente desde la terminal. El software identifica vulnerabilidades conocidas y proporciona comandos específicos para su corrección.
Meta informó a las autoridades estadounidenses que una vulnerabilidad en su sistema High Touch Support (HTS), utilizado para la recuperación de cuentas de Instagram, permitió que terceros no autorizados realizaran restablecimientos de contraseñas y accedieran potencialmente a 20.225 cuentas entre abril y mayo de este año.
Debe estar conectado para enviar un comentario.