Conecta con nosotros

Noticias

MuySeguridad Recaps XX: Seguridad en nube, MoviePass, Jailbreak para iPhone y más

Publicado el

IBM, Intel y Microsoft, entre los miembros del Confidential Computing Consortium para protección de datos

Nuevo recopilatorio del artículo especial en el que te dejamos lo más interesante que ha sucedido en materia de seguridad a lo largo de la semana. Hay un poco de todo. Desde una interesante alianza para mejorar la seguridad en la nube a una grave exposición de datos (otra más), pasando por un novedoso jailbreak para iPhone, el hackeo de uno de los portales del Banco Central Europeo y otros temas que verás a continuación.

Confidential Computing Consortium

Google, Intel y Microsoft, son algunas de las grandes tecnológicas que han formado equipo para crear el Confidential Computing Consortium, una organización que tiene el objetivo de mejorar la protección de datos y en general la seguridad en la nube.

La Linux Foundation ha sido la encargada de poner en marcha este consorcio, y en sus planes está poner de acuerdo a fabricantes de hardware, desarrolladores, expertos en open source y otros. Tendrá la finalidad de promover el uso de la computación confidencial, avanzar en el desarrollo de estándares open source comunes y mejorar la protección de datos.

Según las importantes tecnológicas que formarán parte de este grupo (Google, Intel, Microsoft, IBM, Alibaba, ARM, Baidu o Red Hat), su creación obedece también a la creciente importancia de la computación confidencial, que lejos de reducirse, va a aumentar. Sobre todo a medida que las organizaciones empresariales tengan que moverse en distintos entornos de computación y haga, por ejemplo, que tengan que trabajar al mismo tiempo con la nube pública, edge computing o servidores en local.

MoviePass expuso datos de miles de tarjetas de crédito

MoviePass ha confirmado una grave violación de la seguridad que podría haber expuesto datos de miles de usuarios, incluyendo  números de tarjeta de crédito, fechas de vencimiento e información de facturación. Un investigador de la firma de seguridad cibernética SpiderSilk, encontró una base de datos expuesta en uno de los muchos subdominios de la compañía. La información estaba alojada en un servidor crítico accesible sin contraseña.

El caso de MoviePass es un ejemplo de todo lo que una empresa con centenares de miles de clientes no debe hacer en materia de seguridad. La base de datos era masiva, contenía 161 millones de registros en el momento de su localización y crecía en tiempo real. La mayoría de los registros eran mensajes normales generados por la computadora para garantizar la ejecución del servicio, pero otros muchos incluían información confidencial del usuario, como los números de tarjeta de cliente de MoviePass.

Ninguno de los archivos de esta base de datos estaba sin cifrar y contenían los números de tarjetas de crédito personales de los clientes, su fecha de vencimiento, información de facturación, correos electrónicos, nombres y direcciones postales. «Encontramos registros con suficiente información para realizar compras fraudulentas con esas tarjetas», asegura la firma de seguridad. La base de datos estuvo expuesta durante meses, como mínimo desde comienzos de mayo. Lo peor del caso es que los investigadores advirtieron a MoviePass: «incluso les notifiqué, pero [no se molestaron] en responder o arreglarlo», explican.

Pwn20wnd publica el primer jailbreak para iPhone en años

Pwn20wnd ha publicado un nuevo jailbreak para iPhone que es el primer desarrollo público de este tipo en años y además, conseguido sobre una versión de iOS completamente actualizada. Apple ha facilitado la tarea, sin pretenderlo. Investigadores de seguridad encontraron una vulnerabilidad en la última versión del sistema operativo móvil de Apple, iOS 12.4. La curiosidad de la misma es que era una vulnerabilidad conocida, descubierta por Google y ya parcheada por Apple en la versión anterior, iOS 12.3.

Ello ha permitido a los especialistas la creación de este jailbreak para iPhone, el primero que se hace público sobre una versión actualizada en bastante tiempo. Obviamente, es un fallo que puede comprometer la seguridad de millones de terminales y es seguro que Apple lo parcheará en breve.

Ned Williamson, un investigador de seguridad de Google, confirmó que el viejo exploit ya parcheado por Apple funcionaba en su iPhone XR. Por ejemplo, una aplicación maliciosa podría incluir un exploit para este error que le permita escapar del entorno aislado habitual de iOS, un mecanismo que impide que las apps consigan datos de otras aplicaciones o del sistema, y ??robar datos de los usuarios.

«Actividad fuera de Facebook» permitirá controlar los datos compartidos con sitios web

«Actividad fuera de Facebook» es una nueva herramienta que permitirá a los usuarios controlar los datos que sitios web y aplicaciones envían a la red social. Hace un año que fue anunciada y ahora está disponible en algunos países como España.  Aplicaciones y sitios web a menudo comparten datos sobre nuestras interacciones con plataformas publicitarias y otros servicios. Dado la cantidad de servicios que utilizamos y el tratamiento de datos personales (por lo general irresponsable) es imposible conocer quién y para qué utilizan los mismos.

Facebook anunció hoy una nueva herramienta que permitirá ver y controlar tu actividad fuera de la red. «Actividad fuera de Facebook» permitirá consultar un resumen de las aplicaciones y sitios web que envían información sobre tu actividad a Facebook, gestionarla o eliminarla.

Sea bienvenida cualquier tipo de herramienta que ofrezca una mayor transparencia y control. Facebook tendrá que seguir dando pasos para recuperar la confianza del usuario después de los múltiples escándalos y responder ante los reguladores ante el «desmadre» del uso de datos personales y las violaciones del derecho a la privacidad. La última conocida (cancelada cuando salió a la luz), que empleados humanos escucharon y transcribieron tus conversaciones de Facebook Messenger.

El Banco Central Europeo cierra el portal «BIRD» tras ser pirateado

El Banco Central Europeo (BCE) ha cerrado su portal BIRD, confirmando un ataque cibernético que inyectó malware en el sitio web y posiblemente robó información de contacto de los suscriptores de este boletín. Con sede en Alemania, el Banco Central Europeo (BCE) es el banco central de los 19 países de la Unión Europea que han adoptado el euro y es responsable de supervisar las prácticas de protección de datos del sistema bancario en estos países.

Lanzado en 2015, BIRD (Diccionario Integrado de Informes) es una iniciativa conjunta del Eurosistema para los bancos centrales y el sistema bancario de la zona euro, que proporciona a los bancos una descripción precisa de los datos que tiene con el objetivo de ayudar a los agentes informadores a organizar eficientemente la información almacenada en sus sistemas internos y cumplir con los requisitos de información.

El sitio web de BIRD parece haber sido pirateado hace varios meses, según un informe de Reuters desde diciembre de 2018, pero el BCE descubrió la violación a finales de la semana pasada durante un trabajo de mantenimiento regular. Piratas informáticos desconocidos lograron instalar malware en el servidor externo que aloja el sitio web de BIRD para alojar software para ataques de suplantación de identidad (phishing), lo que puede haberles permitido robar direcciones de correo electrónico, nombres y los títulos de posición de los suscriptores del sitio.

Empleados de Microsoft escuchan tus conversaciones en Xbox desde 2014

Microsoft contrató a empleados humanos para que revisaran conversaciones en Xbox, aseguran medios estadounidenses en otro caso que devuelve a las portadas la falta de transparencia y control en el uso de datos personales por las grandes tecnológicas.

El escándalo de las escuchas humanas de conversaciones privadas continúa. Y Microsoft repite el mismo escenario descubierto en Skype donde revisores humanos grabaron y escucharon conversaciones personales de usuarios a través del servicio de traducción de la aplicación de comunicaciones y los comandos de voz que los usuarios lanzaron hacia el asistente de voz de la compañía, Cortana.

En Xbox, las «escuchas» de las grabaciones de audio comenzaron en 2014 a través del periférico Kinect y después, a partir de 2016, a través del asistente virtual Cortana. El caso es más grave que el de Skype porque puede implicar a millones de menores de edad que usan la consola y para los que se aplican (o se supone) pautas de privacidad más estrictas.

Lo más leído