Sin duda alguna lo que más suele causar ruido en temas de ciberseguridad es cuando ocurren estas fugas de información, o también llamadas ‘Data Breachs’. En estos días han ocurrido variadas fugas de distinta índole y en diferentes sitios: Usuarios, contraseñas e incluso información asociada a tarjetas de créditos chilenas son las que se han […]
Sin duda alguna lo que más suele causar ruido en temas de ciberseguridad es cuando ocurren estas fugas de información, o también llamadas ‘Data Breachs’. En estos días han ocurrido variadas fugas de distinta índole y en diferentes sitios: Usuarios, contraseñas e incluso información asociada a tarjetas de créditos chilenas son las que se han tomado la agenda.
El sitio web de herramientas de diseño gráfico, Canva, que utiliza el formato de arrastrar y soltar (Drag & Drop); fue víctima de una filtración de datos el 24 de mayo. El incidente se produjo luego de que el atacante, apodado GnosticPlayers, asegurara al medio ZDNet, que se había hecho con el robo de los datos privados de 139 millones de usuarios de este servicio, luego de haber vulnerado el sistema de éste.
Según informa el mismo sitio, los datos que fueron robados y posteriormente filtrados, corresponden a nombres de usuarios, direcciones de correo electrónico y contraseñas que se encontraban en su forma criptográfica segura, es decir, se encontraban hasheadas. Una buena práctica desde el sitio fue el asegurar la confidencialidad de las contraseñas mediante la utilización de un hash con uno de los algoritmos más seguros: Bcrypt. A pesar de ello, la recomendación desde Canvas es cambiar la contraseña, puesto que cuando son contraseñas demasiado débiles u obvias, éstas pueden ser descifradas.
Además de los datos ya mencionados, también fueron filtrados tokens de Google. Estos tokens son utilizados por los usuarios para registrarse en el sitio web sin la necesidad de crear una cuenta, sino que utilizando la mismas credenciales de su cuenta Gmail. Esta filtración corresponde aproximadamente a 78 millones de usuarios. Pero como estas credenciales de acceso también están cifradas, volviéndose ilegibles en su lectura, los usuarios no deberán cambiar esta contraseña. De todas formas, lo que no se vio comprometido en esta fuga de información, fueron los datos bancarios de los usuarios.
Canvas además señala que la vulnerabilidad utilizada por el atacante para cometer el incidente ya fue resuelta, y toda la información necesaria fue entregada a las autoridades (Incluyendo el FBI) para seguir el curso de la investigación.
Puedes revisar el informe completo del incidente en el siguiente link
De forma similar, el colector y lector de noticias en Internet, Flipboard, también sufrió un ataque que dejó expuesto los datos de usuarios durante 9 meses. De igual manera que el caso anterior, los atacantes pudieron acceder a los nombres de usuario, correos electrónicos, contraseñas en su forma criptográfica, además del nombre real de estos usuarios.
Flipboard señaló que una persona no autorizada accedió y obtuvo copias de ciertas bases de datos que contenían información de usuarios de la plataforma, entre el 2 de Junio de 2018 y el 23 de Marzo de 2019 y entre el 21 y el 22 de Abril de 2019. La investigación aún sigue en curso, por lo que se desconoce realmente la cantidad de usuarios finalmente afectados.
El caso se asemeja enormemente a lo ocurrido con Canva, puesto que las contraseñas se encontraban cifradas con el mismo algoritmo, y también se utilizaban tokens para acceder con credenciales de otras cuentas. Todo lo anterior implicó que las contraseñas filtradas se encontraran ilegibles para terceros.
De todas maneras, como Bcrypt empezó a ser utilizado desde el 14 de Marzo (Antes se utilizaba el algoritmo SHA-1, que hoy por hoy se encuentra obsoleto en el ámbito de la seguridad de la información), Flipboard prefirió restablecer las contraseñas de todos sus usuarios como medida preventiva.
Una base de datos insegura expuso cerca de 85.4 GB de registros de seguridad asociados a las principales cadenas hoteleras del mundo. Los investigadores de VpnMentor descubrieron el servidor problemático el pasado 27 de Mayo de este año, mientras utilizaban escáneres de puerto cuando estaban mapeando distintas áreas de Internet.
El hallazgo reveló que la base de datos comprometida exponía registros de seguridad, y por tanto, las deficiencias de ciberseguridad de las principales cadenas hoteleras como Sheraton, Hilton, Marriott, Plaza resorts, entre otros hoteles independientes. El servidor en cuestión se encontraba asociado a Pyramid Hotel Group, una compañía que proporciona servicios de gestión hotelera y de complejos turísticos.
Una instancia Elasticsearch, en la base de datos, en el puerto 9200, permitió el acceso sin restricciones a los registros de auditoría de seguridad que habían sido generados por Wazuh (Un sistema de detección de intrusos de código abierto). En total, se encontraron los registros relacionados con 96 propiedades, y aunque si bien estos registros no contienen nombres claros, fue posible identificar muchos de ellos.
La información incluída en los registros corresponde a claves y contraseñas de la API del servidor, nombres de dispositivos, direcciones IP de conexiones entrantes, datos de puertos abiertos, cortafuegos, alertas de malware, aplicaciones restringidas, registros de intentos de inicio de sesión, errores de aplicación, registros de detección de ataques de fuerza bruta e infecciones de malware. Como se puede ver, ésta es información sumamente valiosa para un ciberdelincuente, ya que le permitiría elaborar un plan de ataque específico.
Además de ello, otros datos que fueron expuesto fueron los datos personales de los empleados de los hoteles comprometidos, como sus nombres, nombres de usuario, direcciones locales, nombres de servidor, entre otros detalles asociados a la ciberseguridad del hotel.
Si bien como tal este no es un caso de filtración, puesto que nadie robó los datos para exponerlos, si corresponde a una exposición de éstos, ya que cualquiera podía acceder a ellos.
Lo paradójico del asunto es que la información expuesta proviene de un sistema que está destinado a proteger a las compañías de tales vulnerabilidades. Por lo que los clientes no solo quedan expuestos a ataques de ciberseguridad, sino que también se ve comprometida la seguridad física de estos hoteles.
El siguiente caso nos demuestra que no estamos ajenos a estos tipos de ataque, nuevamente Chile fue víctima de la filtración de datos de tarjetas de créditos emitidas en el país. Desde el SBIF informaron que recibieron reportes en la casilla RIO (Reportes de Incidentes Operacionales) sobre la afectación de datos de 3.564 tarjetas de 11 emisores bancarios distintos y una cooperativa de ahorro y crédito.
Según lo recopilado, el foco que comprometió a las tarjetas sería un fallo de seguridad en el servicio de casillas internacionales Transexpress, durante el periodo comprendido entre el 12 de Septiembre de 2018 y el 5 de Marzo de 2019.
En todos los casos las entidades emisoras de estas tarjetas han tomado las medidas correspondientes bloqueando de forma preventiva las tarjetas y comunicándole a los clientes afectados sobre el incidente. Pero de igual forma, es necesario que como usuarios tengamos el hábito de monitorear la actividad de los movimientos y estados de nuestras tarjetas bancarias, y así en caso de encontrar cualquier actividad sospechosa, reportarla lo antes posible.
Como podemos ver, este caso no corresponde a aquellos que se produce mediante un engaño directo a los propietarios de tarjetas, sino más bien está asociado a una vulnerabilidad en el sistema de terceros. De todas formas, es importante recordar la importancia de estar alerta a aquellos dispositivos en los que ponemos nuestras tarjetas bancariass, tenerlas siempre a la vista y no aceptar la ayuda de extraños en el uso de ellas.
Todo lo anterior nos demuestra que no sólo tenemos que estar atentos a engaños que hagan uso de la ingeniería social para robar nuestros datos, sino que también necesitamos tomar medidas preventivas frente a posibles ataques que puedan sufrir nuestras cuentas y/o tarjetas bancarias en distintos sitios y servicios al poseer ciertas vulnerabilidades que pueden ser explotadas.
Para ello, seguir medidas, como las siguientes, son excelentes herramientas que podemos utilizar para hacer frente a estos ataques:
Estas son algunas de las medidas que puedes seguir para estar un paso adelante de los ciberdelincuentes.
Un ciberatacante podría explotar una vulnerabilidad recientemente descubierta en Docker para salir del contenedor y obtener acceso arbitrario al archivo de lectura/escritura en el host con privilegios de raíz.
Los creadores del famoso ransomware as a service, publicaron en un foro de piratería que detendrían los servicios el próximo mes. Además solicitaron a sus afiliados que dejen de difundir el ransomware en un plazo de 20 días, también solicitaron que las víctimas compren la clave de descifrado lo antes posible.