24 sept 2022

Arrestan al posible atacante de Uber y Rockstar (¿Lapsus$?)

La policía de la ciudad de Londres reveló el viernes que arrestó a un adolescente de 17 años de Oxfordshire bajo sospecha de ataques informáticos. "En la noche del jueves 22 de septiembre de 2022, la policía de la ciudad de Londres arrestó a un joven de 17 años en Oxfordshire bajo sospecha de piratería y el mismo permanece bajo custodia policial".

El departamento dijo que el arresto se realizó como parte de una investigación en asociación con la unidad de delitos cibernéticos de la Agencia Nacional contra el Crimen del Reino Unido.

No se revelaron más detalles sobre la naturaleza de la investigación, aunque se sospecha que la acción policial puede tener algo que ver con la reciente serie de hacks de alto perfil dirigidos a Uber y Rockstar Games.

Se alega que ambas intrusiones fueron cometidas por el mismo actor de amenazas, que se hace llamar Tea Pot (también conocido como teapotuberhacker). Uber, por su parte, ha atribuido la violación a un atacante (o atacantes) que cree que está asociado con la pandilla de extorsión LAPSUS$, dos de los cuales enfrentan cargos por fraude.

Según la empresa de ciberseguridad Flashpoint, se dice que la identidad real del ataque detrás de los dos incidentes se reveló en un foro ilícito en línea. "El administrador de ese foro afirmó que teapotuberhacker era el mismo individuo que supuestamente había pirateado a Microsoft y había tomado el control de Doxbin", reveló la compañía el viernes.

En marzo de este año, BBC News informó sobre un joven de 16 años de Oxford conocido en línea como "White" o "Breachbase", que fue acusado de ser uno de los líderes del grupo LAPSUSU$. Esto también significa que el actor teapotuberhacker es probablemente el mismo que también es conocido por los alias White, Breachbase y WhiteDoxbin y se cree que es el "líder aparente de LAPSUS$".

No está claro de inmediato si estas acusaciones son válidas, pero de ser ciertas, podrían explicar el último arresto por parte de los agentes del orden.

Fuente: THN

22 sept 2022

import tarfile: error de 15 años sin parche en Python

Una vulnerabilidad en el lenguaje de programación Python que se ha pasado por alto durante 15 años ahora vuelve a ser el centro de atención, ya que probablemente afecta a más de 350.000 repositorios de código abierto y puede conducir a la ejecución de código.

Revelado en 2007 y etiquetado como CVE-2007-4559, el problema de seguridad nunca recibió la atención necesaria ni el parche, la única mitigación proporcionada fue una actualización de la documentación que advertía a los desarrolladores sobre el riesgo.

La vulnerabilidad se encuentra en el paquete tarfile de Python, en el código que utiliza la función tarfile.extract() no sanitiazada o en los valores predeterminados integrados de tarfile.extractall(). Es un error de path traversal que permite a un atacante sobrescribir archivos de forma arbitraria.

Los detalles técnicos de CVE-2007-4559 han estado disponibles desde el informe inicial en agosto de 2007. Si bien no hay informes sobre el aprovechamiento del error en los ataques, representa un riesgo en la cadena de suministro de software.

A principios de este año, mientras investigaba otro problema de seguridad, un investigador de Trellix redescubrió CVE-2007-4559

. "Si no se realiza ninguna acción para limpiar los nombres de los archivos antes de solicitar tarfile.extract() o tarfile.extractall(), se genera una vulnerabilidad de path traversal, lo que permite que un actor malintencionado acceda al sistema de archivos" dijo Charles McFarland, investigador de vulnerabilidades en el Equipo de investigación de amenazas avanzadas de Trellix

En 2007, menos de una semana después de la divulgación, un mensaje de Python anunció que el problema estaba solucionado: la solución fue actualizar la documentación con una advertencia "que podría ser peligroso extraer archivos de fuentes no confiables".

Estimación de 350.000 proyectos afectados

Al analizar el impacto, los investigadores de Trellix descubrieron que la vulnerabilidad estaba presente en miles de proyectos de software, tanto de código abierto como cerrado.

Los investigadores rastrearon un conjunto de 257 repositorios con mayor probabilidad de incluir el código vulnerable y verificaron manualmente 175 de ellos para ver si estaban afectados. Esto reveló que el 61% de ellos eran vulnerables. La ejecución de una verificación automatizada en el resto de los repositorios aumentó la cantidad de proyectos afectados al 65%, lo que indica un problema generalizado.

Sin embargo, el pequeño conjunto de muestras solo sirvió como referencia para obtener una estimación de todos los repositorios afectados disponibles en GitHub. "Con la ayuda de GitHub, pudimos obtener un conjunto de datos mucho más grande para incluir 588.840 repositorios únicos que incluyen 'import tarfile' en su código Python" dijo Charles McFarland

Usando la tasa de vulnerabilidad del 61% verificada manualmente, Trellix estima que hay más de 350.000 repositorios vulnerables, muchos de ellos utilizados por herramientas de aprendizaje automático (por ejemplo, GitHub Copilot) que ayudan a los desarrolladores a completar un proyecto más rápido.

En una publicación del blog, el investigador de vulnerabilidades de Trellix, Kasimir Schulz, quien redescubrió el error, describió los pasos simples para explotar CVE-2007-4559 en la versión de Windows de Spyder IDE, un entorno de desarrollo integrado multiplataforma de código abierto para programación científica.

Los investigadores demostraron que la vulnerabilidad también se puede aprovechar en Linux. Lograron escalar la escritura de archivos y lograr la ejecución del código en el producto Polemarch,

Además de llamar la atención sobre la vulnerabilidad y el riesgo que representa, Trellix también creó parches para poco más de 11.000 proyectos. Las correcciones estarán disponibles en un branch del repositorio afectado y se agregarán al proyecto principal a través un pull.

Debido a la gran cantidad de repositorios afectados, los investigadores esperan que más de 70.000 proyectos reciban una solución en las próximas semanas. Sin embargo, alcanzar la marca del 100% es un desafío difícil, ya que los mantenedores también deben aceptar las solicitudes de fusión.

Fuente: BC

21 sept 2022

"Empleado" descontento filtra el cifrador del ransomware LockBit Black (3.0)

La operación del ransomware LockBit sufrió una brecha de datos y un desarrollador supuestamente descontento filtró la última versión del generador del cifrador de la banda.

Después de probarlo durante dos meses, en junio, la operación de ransomware LockBit lanzó la versión 3.0 de su cifrador, cuyo nombre en código es LockBit Black. La nueva versión prometía "Hacer que el ransomware volviera a ser grandioso", agregando nuevas características contra el análisis, un programa de recompensas por errores de ransomware y nuevos métodos de extorsión.

Sin embargo, parece que LockBit ha sufrido una brecha, con dos personas (o tal vez la misma persona) filtrando el constructor LockBit 3.0 en Twitter.

Según el investigador de seguridad 3xp0rt, un usuario de Twitter recién registrado llamado "Ali Qushji" afirma que su equipo hackeo los servidores de LockBit y encontró un generador para el cifrador de de LockBit 3.0. VX-Underground también compartió que un usuario llamado "protonleaks" los contactó el 10 de septiembre y también compartió una copia del constructor. Sin embargo, VX-Underground dice que "LockBitSupp", el representante público de la operación LockBit, afirma que no fueron hackeados, sino que un desarrollador descontento filtró el generador de ransomware privado.

BleepingComputer ha hablado con varios investigadores de seguridad que han confirmado que el constructor es legítimo.

El Builder permite que cualquiera inicie una banda de ransomware

Independientemente de cómo se filtró el generador de ransomware privado, esto no solo es un duro golpe para la operación del ransomware LockBit, sino también para las empresas, que verán un aumento en los actores de amenazas que lo utilizan para lanzar sus propios ataques.

El constructor filtrado de LockBit 3.0 permite que cualquier persona construya rápidamente los ejecutables necesarios para iniciar su propia operación, incluido un cifrador, un descifrador y herramientas especializadas para iniciar el descifrador de ciertas maneras.

El constructor consta de cuatro archivos, un generador de claves de cifrado, un constructor, un archivo de configuración modificable y un archivo por lotes para crear todos los archivos.

Al modificar el archivo de configuración, cualquier actor de amenazas puede personalizarlo según sus propias necesidades y modificar la nota de rescate creada para vincularla a su propia infraestructura.

No es la primera vez que se filtra en línea un generador de ransomware o el código fuente, lo que genera un aumento de los ataques de otros actores de amenazas que lanzaron sus propias operaciones.

En junio de 2021, se filtró el generador de ransomware Babuk, que permite a cualquier persona crear encriptadores y desencriptadores para Windows y VMware ESXi, que otros actores de amenazas utilizaron en los ataques.

En marzo de 2022, cuando la operación del ransomware Conti sufrió una filtración de datos, su código fuente también se filtró en línea. Este código fuente fue utilizado rápidamente por el grupo de hacking NB65 para lanzar ataques de ransomware en Rusia.

Fuente: BC

20 sept 2022

Spell-jacking: Chrome y Edge transmiten contraseñas a través de su función de corrector ortográfico

Las funciones extendidas de revisión ortográfica en los navegadores web Google Chrome y Microsoft Edge transmiten datos de formulario, incluida información de identificación personal (PII) y, en algunos casos, contraseñas, a Google y Microsoft respectivamente.

Si bien esta puede ser una función conocida e intencionada de estos navegadores web, genera inquietudes sobre lo que sucede con los datos después de la transmisión y qué tan segura podría ser la práctica, particularmente cuando se trata de campos de contraseña.

Tanto Chrome como Edge se envían con correctores ortográficos básicos habilitados. Sin embargo, características como el corrector ortográfico mejorado de Chrome o el editor de Microsoft, cuando el usuario las habilita manualmente, presentan este riesgo potencial para la privacidad.

Spell-jacking: Ese es su corrector ortográfico enviando PII a Big Tech

En caso de que se activen las funciones mejoradas de revisión ortográfica, los datos de su formulario se transmiten a Google y Microsoft, respectivamente. Según el sitio web que visite, los datos del formulario pueden incluir PII, incluidos, entre otros, Números de Seguro Social (SSN)/Números de Seguro Social (SIN), nombre, dirección, correo electrónico, fecha de nacimiento (DOB), información de contacto, información bancaria y de pago, y así sucesivamente.

Josh Summitt, cofundador y director de tecnología de la empresa de seguridad de JavaScript otto-js, descubrió este problema mientras probaba la detección de comportamientos de secuencias de comandos de su empresa.

En los casos en los que Chrome Enhanced Spellcheck o Edge's Microsoft Editor (spellchecker) esten habilitados, "básicamente cualquier cosa ingresada en los campos de formulario de estos navegadores se transmitía a Google y Microsoft. Además, si hace clic en 'Mostrar contraseña', el corrector ortográfico mejorado incluso envía su contraseña", explica en una publicación.

Para demostrarlo, otto-js compartió el ejemplo de un usuario que ingresa sus credenciales en la plataforma Cloud de Alibaba en el navegador web Chrome, aunque se puede usar cualquier sitio web para esta demostración.

Con el corrector ortográfico mejorado habilitado, y suponiendo que el usuario haya tocado la función "mostrar contraseña", los campos del formulario, incluidos el nombre de usuario y la contraseña, se transmiten a Google en googleapis.com.

La compañía también ha compartido un video de demostración:

BleepingComputer también observó que las credenciales se transmitían a Google al visitar sitios importantes como:

  • CNN: tanto el nombre de usuario como la contraseña cuando se usa 'mostrar contraseña'
  • Facebook.com: nombre de usuario y contraseña al usar 'mostrar contraseña'
  • SSA.gov (Inicio de sesión del Seguro Social): solo campo de nombre de usuario
  • Bank of America: solo campo de nombre de usuario
  • Verizon: solo campo de nombre de usuario

Solución HTML simple: 'spellcheck=false'

Aunque la transmisión de los campos del formulario se realiza de forma segura a través de HTTPS, es posible que no esté muy claro qué sucede con los datos del usuario una vez que llegan al tercero, en este ejemplo, el servidor de Google.

"La función de revisión ortográfica mejorada requiere una aceptación por parte del usuario", confirmó un portavoz de Google a BleepingComputer. Tenga en cuenta que esto contrasta con el corrector ortográfico básico que está habilitado en Chrome de forma predeterminada y no transmite datos a Google.

Para revisar si el corrector ortográfico mejorado está habilitado en su navegador Chrome, copie y pegue el siguiente enlace en su barra de direcciones. A continuación, puede optar por activarlo o desactivarlo:

  chrome://settings/?search=Enhanced+Spell+Check

"El texto escrito por el usuario puede ser información personal confidencial y Google no lo adjunta a ninguna identidad de usuario y solo lo procesa en el servidor temporalmente. Para garantizar aún más la privacidad del usuario, trabajaremos para excluir las contraseñas de manera proactiva del corrector ortográfico" continuó Google en su declaración.

En cuanto a Edge, Microsoft Editor Spelling & Grammar Checker es un complemento del navegador que debe instalarse explícitamente para que se produzca este comportamiento.

En respuesta al informe de otto-js, tanto AWS como LastPass mitigaron el problema. En el caso de LastPass, se llegó al remedio agregando un simple atributo HTML Spellcheck="false" al campo de la contraseña. Un campo de entrada con 'corrector ortográfico' establecido explícitamente en falso no se procesará a través del corrector ortográfico de un navegador web.

Irónicamente, observamos que el formulario de inicio de sesión de Twitter, tiene el atributo HTML "spellcheck" del campo de contraseña establecido explícitamente en True:

Como protección adicional, los usuarios de Chrome y Edge pueden desactivar el corrector ortográfico mejorado (siguiendo los pasos mencionados anteriormente) o eliminar el complemento Microsoft Editor de Edge hasta que ambas compañías hayan revisado los correctores ortográficos extendidos para excluir el procesamiento de campos confidenciales, como contraseñas.

Fuente: BC

19 sept 2022

Propuesta de Anteproyecto de Ley de Protección de Datos Personales (Actualización Ley 25.326)

CONSIDERANDO:

Que el derecho a la protección de los datos personales en la República Argentina es reconocido a través del artículo 43 de la Constitución Nacional donde establece que: "Toda persona podrá interponer esta acción [expedita y rápida de amparo] para tomar conocimiento de los datos a ella referidos y de su finalidad, que consten en registros o bancos de datos públicos, o los privados destinados a proveer informes, y en caso de falsedad o discriminación, para exigir la supresión, rectificación, confidencialidad o actualización de aquéllos. No podrá afectarse el secreto de las fuentes de información periodística".

...

LA DIRECTORA DE LA AGENCIA DE ACCESO A LA INFORMACIÓN PÚBLICA

RESUELVE:

ARTÍCULO 1º.- Ábrase el Procedimiento de Elaboración Participativa de Normas, conforme lo establecido en el Reglamento General para la Elaboración Participativa de Normas, aprobado por el artículo 3° del Decreto Nº 1172/03 (Anexo V) en relación con la propuesta de Anteproyecto de Ley de Protección de Datos Personales, que como Anexo I (IF-2022-94737490-APN-AAIP) integra la presente Resolución, formándose el expediente administrativo conforme lo dispuesto por el artículo 12 del Decreto Nº 1172/03.

Se adjunta en archivo, propuesta de anteproyecto de Actualización Ley 25.326.

CAPÍTULO 1 - DISPOSICIONES GENERALES

ARTÍCULO 1°. - Objeto

La presente Ley tiene por objeto garantizar el ejercicio del derecho fundamental de las personas humanas a la protección de sus datos personales y su privacidad, de conformidad a lo establecido en el artículo 43, párrafo tercero, de la CONSTITUCIÓN NACIONAL, los convenios internacionales sobre protección de datos personales y los tratados de derechos humanos en los que la REPÚBLICA ARGENTINA sea parte.

Esta Ley establece las reglas para el debido tratamiento de los datos personales y la autodeterminación informativa, así como los derechos de las personas humanas y los deberes de quienes realizan su tratamiento.

  • CAPÍTULO 1 - DISPOSICIONES GENERALES
  • CAPÍTULO 2 - TRATAMIENTO DE DATOS PERSONALES
  • CAPÍTULO 3 - TRANSFERENCIAS INTERNACIONALES
  • CAPÍTULO 4 - DERECHOS DE LOS TITULARES DE LOS DATOS
  • CAPÍTULO 5 - OBLIGACIONES DE LOS RESPONSABLES Y ENCARGADOS DEL TRATAMIENTO
  • CAPÍTULO 6 - PROTECCIÓN DE DATOS DE INFORMACIÓN CREDITICIA
  • CAPÍTULO 7 - AUTORIDAD DE APLICACIÓN
  • CAPÍTULO 8 - PROCEDIMIENTOS Y SANCIONES
  • CAPÍTULO 9 - ACCIÓN DE HABEAS DATA
  • CAPÍTULO 10 - DISPOSICIONES TRANSITORIAS 
  • CAPÍTULO 11 - DISPOSICIONES FINALES

Fuente: Boletin Oficial | Infoleg

Hackean RockStar y roban código fuente de GTA 5 y 6

Aparentemene el mismo atacante de 18 años que hace apenas unos días hackeó a UBER por diversión, ahora ha reivindicado el ataque a RockStar en el foro GTA Forums con el usuario "teapotuberhacker".

En el hackeo afirma haber robado el código fuente de GTA 5 y 6, además de filtrar en el foro GTAForums 90 vídeos reales del juego. RockStar está haciendo un esfuerzo tremendo borrando los vídeos subidos Youtube, Mega, Telegram, Twitter, Instagram, etc. Aún así, los vídeos están tan compartidos que siguen apareciendo especialmente en Telegram. El atacante parece que uso el mismo modus operandi que con Uber, accediendo al servidor Slack (utilizando los credenciales robados de un trabajador) y también a la Wiki de Confluence.

La cuenta de Telegram del atacante fue borrada ayer por la noche, así como numerosos canales de Telegram donde estaban filtrando los vídeos.

Los vídeos y parte del código fuente se filtraron por primera vez en GTAForums ayer, donde un actor de amenazas llamado "teapotuberhacker" compartió un enlace a un archivo "videos.RAR" que contiene 90 vídeos robados. El mensaje original fue eliminado y hoy ha sido restaurado pero eliminando todo el material, enlaces, imágenes del código fuente, de los vídeos, etc.

Los vídeos parecen haber sido creados por los desarrolladores para depurar algunas características del juego, tales como los ángulos de la cámara, el seguimiento de los NPC y las localizaciones de Vice City. Además, algunos de los vídeos contienen conversaciones habladas entre el protagonista y otros NPC.

Después de que los miembros del foro mostraran su incredulidad de que el hackeo fuera real, el ciberdelincuente afirmó que estaba detrás del reciente ciberataque a Uber y ha filtrado capturas de pantalla del código fuente tanto de Grand Theft Auto V como de Grand Theft Auto 6 como prueba adicional.

Rockstar Games comprometido

El ciberdelincuente afirma haber robado "el código fuente y los activos de GTA 5 y 6, la versión de prueba de GTA 6", pero está intentando extorsionar a Rockstar Games para evitar que se publiquen más datos. Por ese motivo, dice que está aceptando ofertas de más de 10.000 dólares por el código fuente y los activos de GTA V, pero no está vendiendo el código fuente de GTA 6 de momento, aunque ha hecho público que podría hacerlo.

Aunque Rockstar Games no ha emitido declaración oficial de momento, Jason Schreier, de Bloomberg, ha confirmado que la filtración es válida después de hablar con fuentes de Rockstar.

Desde entonces, los vídeos filtrados han llegado a YouTube y Twitter, y Rockstar Games ha emitido avisos de infracción de la DMCA y solicitudes de retirada para que los vídeos sean eliminados de las distintas plataformas.

Los vídeos filtrados en los que aparece un personaje jugable femenino se alinean con la información que hasta ahora teníamos sobre GTA VI. En julio Bloomberg avanzó que el título iba a tener dos protagonistas y que uno de ellos iba a ser una mujer latina llamada Lucia.

El protagonista masculino aparece con una camiseta negra o sin mangas. La historia de ambos personajes está influenciada por Bonnie y Clyde. Por otro lado, hay clips donde vemos Vice City Metro, lo que nos indica que GTA VI se ambienta en una versión ficticia de Miami como GTA: Vice City.

Fuente: Derecho de la Red | ElHacker

17 sept 2022

Más de 280.000 sitios de WordPress atacados usando Zero-Day del complemento WPGateway

Una falla de día cero en la última versión de un complemento premium de WordPress conocido como WPGateway se está explotando activamente en la naturaleza, lo que podría permitir que los actores malintencionados se apoderen por completo de los sitios afectados.

Registrado como CVE-2022-3180 (puntaje CVSS: 9.8), el problema se está armando para agregar un usuario administrador malicioso a los sitios que ejecutan el complemento WPGateway, señaló la empresa de seguridad de WordPress, Wordfence.

"Parte de la funcionalidad del complemento expone una vulnerabilidad que permite a los atacantes no autenticados insertar un administrador malicioso", dijo Ram Gall, investigador de Wordfence, en un aviso.

WPGateway se factura como un medio para que los administradores del sitio instalen, respalden y clonen complementos y temas de WordPress desde un tablero unificado.

El indicador más común de que un sitio web que ejecuta el complemento se ha visto comprometido es la presencia de un administrador con el nombre de usuario "rangex". Además, la aparición de solicitudes a "/wp-content/plugins/wpgateway/wpgateway-webservice-new.php?wp_new_credentials=1" en los registros de acceso es una señal de que el sitio de WordPress ha sido atacado utilizando la falla, aunque no implica necesariamente una violación exitosa.

Wordfence dijo que bloqueó más de 4,6 millones de ataques que intentaron aprovechar la vulnerabilidad contra más de 280.000 sitios en los últimos 30 días.

Se han retenido más detalles sobre la vulnerabilidad debido a la explotación activa y para evitar que otros actores se aprovechen de la deficiencia. En ausencia de un parche, se recomienda a los usuarios que eliminen el complemento de sus instalaciones de WordPress hasta que haya una solución disponible.

El desarrollo se produce días después de que Wordfence advirtiera sobre el abuso en la naturaleza de otra falla de día cero en un complemento de WordPress llamado BackupBuddy.

La divulgación también llega cuando Sansec reveló que los actores de amenazas irrumpieron en el sistema de licencias de extensión de FishPig, un proveedor de integraciones populares de Magento-WordPress, para inyectar un código malicioso diseñado para instalar un troyano de acceso remoto llamado Rekoobe.

Fuente: THN

16 sept 2022

Uber hackeado, sistemas internos y documentos confidenciales presuntamente comprometidos

Uber sufrió el jueves un ciberataque, los atacantes pudieron penetrar en su red interna y acceder a documentos internos, incluidos informes de vulnerabilidad.

Según el New York Times, los atacantes hackearon la cuenta de Slack de un empleado y la usaron para informar al personal interno que "la empresa había sufrido una violación de datos" y proporcionaron una lista de bases de datos internas presuntamente pirateadas.

"Anuncio que soy un hacker y Uber ha sufrido una violación de datos", afirma el mensaje.

La empresa se vio obligada a desconectar sus sistemas internos de comunicaciones e ingeniería para mitigar el ataque e investigar la intrusión.

Los atacantes supuestamente comprometieron varios sistemas internos y proporcionaron imágenes de correo electrónico, almacenamiento en la nube y repositorios de códigos a The New York Times y algunos investigadores de seguridad cibernética.

"Prácticamente tienen acceso completo a Uber", dijo Sam Curry, un ingeniero de seguridad de Yuga Labs que mantuvo correspondencia con la persona que afirmó ser responsable de la violación. "Este es un compromiso total, por lo que parece".

Los atacantes también tenían acceso al programa de recompensas de HackerOne de la empresa, lo que significa que tenían acceso a todos los informes de errores enviados a investigadores de seguridad y esta información es muy importante porque los actores de amenazas podrían usarla para lanzar más ataques. En este momento no es posible descartar que los informes incluyan detalles técnicos sobre algunas fallas que aún no han sido reparadas por la empresa.

HackerOne ha deshabilitado inmediatamente el programa de recompensas por errores de Uber bloqueando cualquier acceso a la lista de problemas informados. El atacante afirma haber comprometido completamente a Uber y ha publicado capturas de pantalla de las siguientes plataformas:

  • Slack
  • Google Workspace (admin)
  • Cuentas de AWS
  • HackerOne (admin)
  • SentinelOne EDR
  • VMware vSphere
  • Dashboards Financieros

"No tenemos una estimación en este momento de cuándo se restablecerá el acceso completo a las herramientas, así que gracias por su paciencia", dijo Latha Maripuri, directora de seguridad de la información de Uber, a NYT por correo electrónico.

Se instruyó a los empleados para que no usaran el servicio de mensajería interna Slack y algunos de ellos, hablando bajo condición de anonimato, dijeron al NYT que otros sistemas internos eran inaccesibles.

El atacante dice tener 18 años y agregó que Uber tenía poca seguridad, en el mensaje enviado a través de Slack también dijo que los conductores de Uber deberían recibir un pago más alto. Esta no es la primera vez que la empresa sufre una brecha de seguridad. En 2017, la noticia de otra filtración de datos que tuvo lugar en 2016 fue noticia.

En otra imagen compartida, se muestran algunas de las credenciales a las que el atacante tuvo acceso, incluso se filtraron las credenciales de la "Cuenta de servicio de respuesta de seguridad". Para aquellos que no saben qué son las cuentas de este estilo, se utilizan durante emergencias críticas, como una brecha de seguridad importante.

En noviembre de 2017, el CEO de Uber, Dara Khosrowshahi, anunció que los delincuentes informáticos irrumpieron en la base de datos de la empresa y accedieron a los datos personales (nombres, direcciones de correo electrónico y números de teléfono celular) de 57 millones de sus usuarios, la revelación desconcertante fue que la empresa encubrió el hackeo durante más de un año.

Los atacantes accedieron también a los nombres y números de licencia de conducir de aproximadamente 600.000 de sus conductores en los Estados Unidos.

El hackeo ocurrió en 2016, fue fácil para los atacantes que según un informe publicado por Bloomberg, obtuvieron credenciales de un sitio privado de GitHub utilizado por el equipo de desarrollo de la empresa. Los delincuentes informáticos intentaron chantajear a Uber y exigieron 100.000 dólares a la empresa a cambio de evitar la publicación de los datos robados.

En lugar de notificar la violación de datos a los clientes y a las fuerzas del orden, como exige la ley de notificación de violaciones de seguridad de datos de California, el jefe de seguridad de la información, Joe Sullivan, ordenó pagar el rescate y cubrir la historia destruyendo cualquier evidencia. El pago se disfrazó como un premio de recompensa por errores completo con acuerdos de confidencialidad firmados.

¿Datos personales comprometidos?

La empresa de viajes ha informado que "no hay evidencia" de que el perpetrador haya accedido a datos confidenciales de los usuarios, como los historiales de viajes, datos personales o de las tarjetas. Todos los servicios funcionan correctamente y la empresa ha restablecido el uso del software interno que eliminó al descubrir la infracción.

Fuente: SecurityAffairs

Europa confirma una multa a Google de €4.125 millones por imponer "su Android" a los fabricantes

El Tribunal General Europeo confirma en gran parte la decisión de la Comisión que declaró que Google había impuesto restricciones ilegales a los fabricantes de dispositivos móviles Android y a los operadores de redes móviles con el propósito de consolidar la posición dominante de su motor de búsqueda.

En el año 2018 una multa histórica por parte de la Unión Europea al gigante de Google por un valor de 4.343 millones de euros, superando la famosa multa de 2.420 millones de euros de 2017. Tras un largo proceso de recursos por parte de Google, finalmente la justicia europea no les ha dado la razón confirmando la sanción, aunque rebajándola varios millones hasta los 4.125 millones de euros.

Google ha abusado de su posición dominante, ya que impuso restricciones contractuales anticompetitivas a los fabricantes de dispositivos móviles y a los operadores, que tenían como objetivo proteger y reforzar su posición en el ámbito de los servicios de búsqueda general.

La multa llegó directamente desde la Comisión Europea por impedir a los consumidores beneficiarse de una competencia efectiva en un ámbito tan importante como el móvil. Esto se traduce en que Google impone a los fabricantes que quieren hacer uso de Android de manera plena a cumplir diferentes requisitos. De esta manera se pasa a tener una posición completamente dominante, no dejando la libertad necesaria a los usuarios para poder disfrutar de una competencia real.

Para poder afirmar esto, la Comisión Europea afirmó que Google obliga siempre a los fabricantes a preinstalar Google Search y Google Chrome en los dispositivos si se quiere tener la Play Store en los dispositivos con la correspondiente licencia. Además, también se han demostrado diferentes pagos de Google a los fabricantes para tener instaladas en los dispositivos de manera exclusiva la aplicación Google.

La Comisión Europea comenzó a indagar sobre las prácticas comerciales de Google en 2013 y cinco años más tarde anunció la sanción por el abuso de su posición dominante. Tras un largo proceso de recursos por parte de Google a la sanción impuesta, finalmente la justicia europea no les ha dado la razón confirmando la sanción, aunque se ha rebajado hasta los 4.125 millones de euros.

Google también ha impedido a los fabricantes a utilizar versiones adaptadas de Android sin que tengan su aprobación. En el caso de hacerlo, no tendrían el derecho a emplear los servicios y las aplicaciones de Google de manera libre. Esto es claramente una práctica de monopolio que ata a los fabricantes a usar la misma versión de Android base si quieren ofrecer los servicios de Google que son muy reclamados por los usuarios.

El TGUE, así, "estima que procede reformar la decisión impugnada a los efectos de fijar el importe de la multa que ha de imponerse a Google por la infracción cometida en 4.125 millones de euros. A tal fin, al igual que la Comisión, el Tribunal considera adecuado tomar en consideración el carácter deliberado de la aplicación de las prácticas infractoras y el valor de las ventas pertinentes realizadas por Google en el último año de su participación completa en la infracción. En cambio, por lo que atañe a la consideración de la gravedad y de la duración de la infracción, el Tribunal estima adecuado, por las razones expuestas en la sentencia, tener en cuenta la evolución en el tiempo de los distintos aspectos de la infracción y la complementariedad de las prácticas en cuestión para evaluar el impacto de los efectos de expulsión constatados fundadamente por la Comisión en la decisión impugnada".

La Comisión Europea también impuso que Google debía acabar con estas prácticas. Se espera de esta manera que Android tenga una competencia real en el mercado sin que existan trabas a la hora de emplear las aplicaciones de Google. De esta manera, en un futuro se explora la necesidad de reducir la cuota de mercado que puede llegar a tener Android en Europa con la libertad de los fabricantes para crear nuevos sistemas operativos.

Fuentes: El Mundo | Derecho de la Red | Genbeta

14 sept 2022

Operaciones de ransomware utilizan BitLocker

El equipo de inteligencia de amenazas de Microsoft asegura que el grupo DEV-0270 (también conocido como Nemesis Kitten o Phosphorus) ha estado abusando de la función BitLocker de Windows en sus ataques y la ha usado para cifrar los datos de los discos de sus víctimas con la posterior petición de rescate a las mismas.

Los analistas de Microsoft comentan que los atacantes aprovechan cada vez más los LOLBINs (Living Off the Land Binaries), una técnica que se basa en aprovecharse de binarios propios del sistema para ocasionar un importante daño en un ataque, con una tasa de detección relativamente baja) en sus ataques.

En este caso concreto se usa BitLocker, una función de protección de datos que proporciona cifrado de volumen completo en dispositivos que ejecutan Windows 10, Windows 11 o Windows Server 2016 y superior. Según la investigación, el grupo utiliza DiskCryptor, un sistema de cifrado de disco de código abierto para Windows que permite el cifrado completo del disco duro de un dispositivo.

Desde el acceso de los atacantes a los equipos hasta la aparición de la nota de rescate de los equipos bloqueados pasaron aproximádamente dos días y en las notas se exige el pago de la cantidad de 8.000 dólares a cambio de las claves de desbloqueo de la información.

Para el descubrimiento de controladores de dominio, los atacantes hacen uso de los siguientes comandos de PowerShell y WMI:

"powershell.exe" /c Get-WMIObject Win32_NTDomain | findstr DomainController
"findstr.exe" DomainController

Microsoft dice que este grupo de atacantes es una división del grupo "Phosphorus" respaldado por Irán (conocido también como Charmin Kitten y APT35) conocios por dirigir sus ataques a víctimas de alto perfil vinculadas a gobiernos, ONGs y organizaciones de defensa de todo el mundo.

El grupo DEV-0270 está siendo operado por una empresa iraní conocida bajo dos alias: Secnerd (secnerd[.]ir) y Lifeweb (lifeweb[.]it).

Estas organizaciones también están vinculadas a Najee Technology Hooshmand (ناجی تکنولوژی هوشمند), ubicada en Karaj, Irán, según las investigaciones.

El grupo suele ser oportunista en su orientación: escanean Internet para encontrar servidores y dispositivos, lo que hace que las organizaciones con servidores y dispositivos vulnerables y detectables sean susceptibles a estos ataques.

Dado que muchos de los ataques de DEV-0270 han explotado vulnerabilidades conocidas en Exchange (ProxyLogon) o Fortinet (CVE-2018-13379), se recomienda a las empresas parchear sus servidores y equipos para bloquear los intentos de explotación y los posteriores ataques de ransomware.

Para estos casos, herramientas como SANA (Servicio de Análisis, Notificaciones y Alertas de seguridad), creada por Hispasec, ayudan a las empresas a monitorizar y gestionar las potenciales vulnerabilidades de sus sistemas.

Fuente: Microsoft