Acerca Zack Whittaker

  • Miembro Desde: 05/09/2018

Descripcion

    Lo sentimos, no se encontraron listas.

Los usuarios se quejan de cortes de cuenta, pero OkCupid niega una violación de datos

tecnologia 10/02/2019

Ya es bastante malo que los sitios de citas sean un pozo de exageraciones y decepciones inevitables, también son un objetivo candente para los hackers.

Los sitios de citas no se consideran la mina de oro de la información personal, como bancos u hospitales, pero siguen siendo una parte íntima de la vida de millones de personas y han estado en la mira de los piratas informáticos. Si los hackers no están atacando la base de datos de back-end como las violaciones de AdultFriendFinder, Ashley Madison y Zoosk, los hackers intentan entrar por la puerta principal con contraseñas filtradas o adivinadas.

Eso es lo que parece estar sucediendo con algunos OkCupid cuentas

Un lector contactó a VendeTodito luego de que su cuenta fuera hackeada. El lector, que no quiso ser identificado, dijo que el pirata informático ingresó y cambió su contraseña, lo que lo dejó fuera de su cuenta. Peor aún, cambiaron su dirección de correo electrónico en el archivo, lo que le impidió restablecer su contraseña.

OkCupid no envió un correo electrónico para confirmar el cambio de dirección, solo aceptó ciegamente el cambio.

"Lamentablemente, no podemos proporcionar detalles sobre las cuentas que no están conectadas a su dirección de correo electrónico", dijo el servicio de atención al cliente de OkCupid en respuesta a su queja, que envió a VendeTodito. Luego, el pirata informático comenzó a acosarlo extraños mensajes de texto de su número de teléfono que se eliminó de uno de sus mensajes privados.

No fue un caso aislado. Encontramos varios casos de personas que decían que su cuenta de OkCupid había sido hackeada.

Otro usuario con el que hablamos finalmente recuperó su cuenta. "Fue toda la batalla", dijo. “Fueron dos días de control constante de daños hasta [OkCupid] finalmente restablecer la contraseña para mí ".

Otros usuarios con los que hablamos tuvieron mejor suerte que otros para recuperar sus cuentas. Una persona no se molestó, dijo. Incluso las cuentas deshabilitadas se pueden volver a habilitar si un hacker inicia sesión, algunos usuarios lo encontraron.

Pero varios usuarios no pudieron explicar cómo sus contraseñas, exclusivas de OkCupid y no utilizadas en ninguna otra aplicación o sitio, se obtuvieron de manera inexplicable.

"No ha habido una brecha de seguridad en OkCupid", dijo Natalie Sawyer, una portavoz de OkCupid. “Todos los sitios web experimentan constantemente intentos de adquisición de cuentas. No ha habido un aumento en las adquisiciones de cuentas en OkCupid ".

Incluso en las propias páginas de soporte de OkCupid, la compañía dice que las tomas de cuenta a menudo ocurren porque alguien tiene la información de inicio de sesión del propietario de una cuenta. "Si usa la misma contraseña en varios sitios o servicios diferentes, entonces sus cuentas en todos ellos tienen el potencial de ser controladas si un sitio tiene una violación de seguridad", dice la página de soporte.

Esto describe el relleno de credenciales, una técnica para ejecutar una gran cantidad de nombres de usuario y contraseñas en un sitio web para ver si una combinación permite al pirata informático. La forma más fácil y efectiva de rellenar las credenciales es que el usuario utilice una contraseña única en cada sitio. . Para empresas como OkCupid, el otro bloqueador efectivo es permitir a los usuarios activar la autenticación de dos factores.

Cuando se le preguntó cómo planea OkCupid prevenir ataques de cuentas en el futuro, el vocero dijo que la compañía "no tenía más comentarios".

De hecho, cuando comprobamos, OkCupid era solo uno de los principales sitios de citas, como Match, PlentyOfFish, Zoosk, Badoo, JDate y eHarmony, que no utilizaban la autenticación de dos factores.

Como si las citas no fueran lo suficientemente duras en el mejor de los casos, ahora también tienes que defenderte de los hackers.

Cybersecurity 101: cinco sencillas guías de seguridad para proteger su privacidad

VendeTodito

70 total vistas, 0 hoy

Sin pruebas, ¿sigue siendo Huawei una amenaza para la seguridad nacional?

tecnologia 26/01/2019

Se trata de Huawei contra los EE. UU., Los EE. UU., Canadá, Australia, Nueva Zelanda y la mayor parte de Europa y Japón.

Es casi como si los superpoderes de vigilancia más grandes del mundo no quisieran que la torre celular de Huawei y el enrutador de redes estuvieran dentro de redes críticas en sus países, en medio de las preocupaciones de los vínculos de la compañía con el ejército chino.

Huawei, dicen, podría estar espiando a los chinos, y eso representa un riesgo para la seguridad nacional.

Pero hay un problema. Los años de audiencias en el Congreso y las inspecciones de hardware "no concluyentes" han presentado una imagen mixta sobre la amenaza que Huawei puede, o no, plantear. A pesar del hecho de que el fundador y presidente de la compañía es un ex oficial del Ejército Popular de Liberación de China y que la compañía sigue siendo financiada por el gobierno chino, tampoco hay evidencia pública y directa de que Huawei esté utilizando su equipo para espiar el tráfico de la red dentro de los Estados Unidos. o cualquier otro país. En cualquier caso, Huawei no puede mostrarse negativo, por lo que todo lo que puede hacer es permitir que los gobiernos evalúen sus dispositivos, que hasta ahora han encontrado algunos problemas, pero nada concluyente para vincularlos con los actores chinos de espionaje.

Ese es el quid del argumento: nadie cree que Huawei esté espiando ahora. Ser atrapado sería demasiado peligroso. Pero nadie sabe que no espiará en el futuro.

El peor escenario de pesadilla es que las empresas de telecomunicaciones aprovecharán la tecnología de Huawei e instalarán sus equipos en cada rincón, grieta y esquina de sus redes. ¿Por qué no lo harían? La tecnología es barata, se dice que es confiable y es necesaria para la inminente expansión de 5G. Luego, años más tarde, China explota una vulnerabilidad oculta que permite a sus hackers robar secretos económicos de las empresas.

En ese punto, sería demasiado tarde. Los operadores de red no pueden simplemente arrancar sus enrutadores y conmutadores. El daño está hecho.

Las empresas de telecomunicaciones necesitan a Huawei tanto como Huawei. Pero a las empresas de telecomunicaciones de América del Norte y Europa les resulta cada vez más difícil navegar por las presiones de sus gobiernos, que los consideran una infraestructura nacional crítica y una preocupación de seguridad nacional constante.

La realidad es que China no es más una amenaza para la seguridad nacional que los EE.UU. lo es para China, que tiene su propio y creciente negocio de equipos de redes. Tanto como EE. UU. Y Canadá pueden no querer usar Huawei o ZTE equipos en sus redes por temor a un ataque cibernético sorpresa diez años después, ¿por qué China, Rusia o cualquier otro estado "frenemy" debe elegir HPE o Cisco? tecnologías?

Las empresas tienen una opción: ¿el enemigo que conoces es mejor que el que no conoces?

Sin pruebas, ¿sigue siendo Huawei una amenaza para la seguridad nacional?

Ren Zhengfei, fundador y director ejecutivo de Huawei Technologies Co., asiste a una entrevista en la sede de la compañía en Shenzhen, China, el martes 15 de enero de 2019. Ren, el multimillonario magnate de las telecomunicaciones, rompió años de silencio público para despedir a EE. UU. acusaciones de que el gigante de las telecomunicaciones ayuda a Pekín a espiar a los gobiernos occidentales y alabar a Donald Trump por sus recortes de impuestos. Fotógrafo: Qilai Shen / Bloomberg a través de Getty Images

El gobierno de los Estados Unidos ha persistido en todas las administraciones con su feroz retórica sobre los vínculos de Huawei con el gobierno chino, ya que un informe del Comité de Inteligencia de la Cámara de Representantes en 2012 promovió la prohibición nacional de los equipos fabricados por Huawei y ZTE, otro fabricante chino de electrónica, e incluso advirtió contra el uso sus teléfonos de consumo. Una ausencia notable del informe de la Cámara era una prueba específica del espionaje chino.

De acuerdo con la afirmación del panel de que "un enrutador que se enciende en medio de la noche, comienza a enviar paquetes de datos grandes y se envía a China", dijo el ex congresista Mike Rogers (R-MI). Huawei, que siempre ha negado las reclamaciones, hace tiempo que solicitó pruebas. Solo esta semana, los EE. UU. Dijeron que no necesitan mostrar pruebas, citando la capacidad de la compañía para ser "apalancada por el gobierno chino".

El informe contenía reclamos de soborno y corrupción, infracción de derechos de autor y más, pero no había ninguna pistola de fumar que probara que la compañía estaba espiando, solo que podía a petición de Beijing.

A pesar del gobierno autoritario de China, el país dice que no tiene una sola ley que pueda obligar a una empresa a espiar en su nombre o poner puertas traseras en sus productos. Los occidentales son legítimamente escépticos: en China, el gobierno no necesita una ley para decir que puede o no puede hacer algo.

Sin embargo, irónicamente, son los EE. UU. Y los EE. UU. Y, más recientemente, Australia, los que tienen leyes vigentes que, de hecho, pueden obligar a una empresa a entregar datos u obligar a una empresa a instalar puertas traseras. Después de las revelaciones de Edward Snowden que revelaron el alcance de la vigilancia de los EE. UU., China tomó represalias al eliminar la tecnología de los EE. UU. De sus redes y sistemas. Eso no fue una molestia para China; tiene su propia industria tecnológica en auge, y en su lugar acaba de comenzar a usar su propio equipo de cosecha propia.

Otros países no tienen tanta suerte, y la mayoría de las veces están atrapados entre comprar su tecnología a los dos gigantes espías.

Las naciones occidentales prefieren confiar en la tecnología de los EE. UU. Con sus poderosas leyes de vigilancia, mientras que el resto del mundo confía en la tecnología china o simplemente no le importa.

Cualquier tecnología puede ser un riesgo de seguridad nacional. Es menos seleccionar el equipo correcto y más escoger tu veneno.

La historia del chip espía de Bloomberg revela el turbio mundo de los informes de seguridad nacional

VendeTodito

119 total vistas, 0 hoy

Las estaciones de carga para automóviles EVLink de Schneider eran fácilmente hackeables, gracias a una contraseña codificada

tecnologia 14/01/2019

Schneider ha solucionado tres vulnerabilidades en una de sus estaciones de carga de automóviles eléctricos populares, que según los investigadores de seguridad podrían haber permitido fácilmente que un atacante tomara la unidad de forma remota.

En el peor de los casos, un atacante puede obligar a un vehículo conectado a dejar de cargar, inutilizándolo en un "estado de denegación de servicio", un ataque favorecido por algunos actores de amenazas, ya que es una forma efectiva de obligar a alguien a dejar de funcionar.

Los errores se corrigieron con una actualización de software que se lanzó el 2 de septiembre poco después de que los errores se revelaran por primera vez, y los detalles limitados de los errores se revelaron en un documento de respaldo el 20 de diciembre. Ahora, una imagen más completa de las vulnerabilidades, encontrada por New La firma de seguridad con sede en York Positive Technologies, fue lanzada hoy, casi un mes después.

Las estaciones de carga EVLink de Schneider vienen en todas las formas y tamaños, algunas para la pared del garaje y otras para estaciones de servicio. Son las estaciones de carga en oficinas, hoteles, centros comerciales y garajes de estacionamiento que son vulnerables, dijo Positivo.

En el centro de la divulgación de Positive se encuentran las estaciones de carga eléctrica EVLink Parking de Schneider, uno de los varios productos de carga que Schneider vende, y se comercializa principalmente en complejos de apartamentos, área de estacionamiento privado, oficinas y municipios. Estas estaciones de carga están diseñadas, al igual que otras, para vehículos híbridos totalmente eléctricos y enchufables, incluido Teslas, que tiene su propio conector patentado.

Debido a que la estación de estacionamiento EVLink se puede conectar a la nube de Schneider con conectividad a Internet, ya sea a través de una celda o una conexión de banda ancha, Positive dijo que cualquiera puede acceder a la interfaz de usuario basada en la web en la unidad de carga y enviar comandos fácilmente a la carga. estación – incluso mientras está en uso.

"Un pirata informático puede detener el proceso de carga, cambiar el dispositivo al modo de reserva, lo que lo haría inaccesible para cualquier cliente hasta que se desactive el modo de reserva, e incluso desbloquear el cable durante la carga mediante la manipulación de la escotilla de bloqueo del zócalo, lo que significa que los atacantes podrían aléjate con el cable ”, dijo Positivo.

"Para los conductores de automóviles eléctricos, esto significa no poder usar sus vehículos ya que no se pueden cargar", dijo.

Positive no dijo cuál era la contraseña eliminada desde entonces, pero, dada la curiosidad, preguntamos y actualizaremos cuando recibamos una respuesta.

Los investigadores Vladimir Kononovich y Vyacheslav Moskvin también encontraron otros dos errores que le dan a un atacante acceso total a través de un dispositivo: una falla de inyección de código y una vulnerabilidad de inyección SQL. Ambos fueron arreglados en la misma actualización de software.

Schneider no respondió a una solicitud de comentarios. Si eso cambia, lo actualizaremos.

Informes adicionales: Kirsten Korosec.

Cybersecurity 101: cinco sencillas guías de seguridad para proteger su privacidad

VendeTodito

37 total vistas, 0 hoy

Avistamiento de drones detiene vuelos en el aeropuerto de Heathrow del Reino Unido

tecnologia 08/01/2019

Todos los vuelos que salen de Heathrow, el aeropuerto más grande de los EE. UU., Han sido suspendidos a raíz de un avistamiento de avión no tripulado.

Un portavoz del aeropuerto le dijo a VendeTodito que el personal está "trabajando de cerca" con la Policía Metropolitana de Londres, "para prevenir cualquier amenaza a la seguridad operacional".

"Como medida de precaución, hemos detenido las salidas mientras investigamos", dijo el portavoz a VendeTodito. "Pedimos disculpas a los pasajeros por cualquier inconveniente que esto pueda causar".

El aeropuerto no dijo quién reportó el drone, ni a quién.

Es el segundo avistamiento de aviones no tripulados reportado en un aeropuerto de Estados Unidos en la misma cantidad de meses. El aeropuerto de Gatwick, al sur de Londres, se enfrentó a dos días de interrupción luego de un avistamiento de aviones no tripulados reportado justo antes de Navidad. Al final, se cancelaron más de 1,000 vuelos, dejando a decenas de miles de pasajeros varados.

La policía de Estados Unidos recibió nuevos poderes para combatir los drones, incluida una expansión de las zonas de exclusión alrededor de los aeropuertos.

Un portavoz de la Autoridad de Aviación Civil, que regula el espacio aéreo de U.K., no respondió de inmediato a una solicitud de comentarios.

Más como viene en …

VendeTodito

35 total vistas, 0 hoy

Google se sentó en un error de Chromecast durante años, ahora los hackers podrían causar estragos

tecnologia 02/01/2019

Google Se advirtió de un error en su dispositivo de transmisión de medios Chromecast hace años, pero no lo solucionó. Ahora, los hackers están explotando el error, y los investigadores de seguridad dicen que las cosas podrían empeorar.

Un hacker, conocido como Hacker Jirafa, se ha convertido en la última persona en descubrir cómo engañar al transmisor de medios de Google para que reproduzca cualquier video de YouTube que desee, incluidos los videos personalizados. Esta vez, el pirata informático secuestró miles de Chromecasts, lo que obligó a mostrar un aviso emergente que se puede ver en la TV conectada, advirtiendo al usuario que su enrutador mal configurado está exponiendo su Chromecast y la televisión inteligente a hackers como él.

No solo para perder una oportunidad, el hacker también le pide que se suscriba a PewDiePie, una horrible persona de Internet con un popular YouTube. (Es el mismo pirata informático que engañó a miles de impresoras expuestas para que admitieran la impresión de PewDiePie).

El error, denominado CastHack, explota una debilidad tanto en Chromecast como en el enrutador al que se conecta. Algunos enrutadores domésticos han habilitado Universal Plug and Play (UPnP), un estándar de red que puede ser explotado de muchas maneras. UPnP reenvía los puertos de la red interna a Internet, lo que hace que Chromecasts y otros dispositivos sean visibles y accesibles desde cualquier lugar en Internet.

Como dice Hacker Giraffe, deshabilitar UPnP debería solucionar el problema.

"Hemos recibido informes de usuarios que han tenido un video no autorizado reproducido en sus televisores a través de un dispositivo Chromecast", dijo un portavoz de Google a VendeTodito. "Esto no es un problema específico de Chromecast, sino que es el resultado de la configuración del enrutador que hace que los dispositivos inteligentes, incluido Chromecast, sean accesibles públicamente", dijo el portavoz.

Por un lado, eso es cierto, pero no aborda el error de años que le da a cualquier persona con acceso a un Chromecast la capacidad de secuestrar el flujo de medios y mostrar lo que quiera, porque Chromecast no verifica si alguien está autorizado. para cambiar el flujo de video. (Google no respondió a nuestra pregunta de seguimiento).

Google se sentó en un error de Chromecast durante años, ahora los hackers podrían causar estragos

Hacker Giraffe envió este video de YouTube a miles de dispositivos Chromecast expuestos, advirtiendo que sus transmisiones podrían ser fácilmente secuestradas. (Captura de pantalla: VendeTodito)

Bishop Fox, una firma de consultoría de seguridad, encontró el error por primera vez en 2014, poco después de su debut en Chromecast. Los investigadores descubrieron que podían realizar un ataque "deauth" que desconecta el Chromecast de la red Wi-Fi a la que estaba conectado, lo que provocó que volviera a su estado original y esperara a que un dispositivo le dijera Dónde conectarse y qué transmitir. Ahí es cuando puede ser secuestrado y obligado a transmitir lo que quiera el secuestrador. Todo esto se puede hacer en un instante, como lo hicieron, con solo tocar un botón en un control remoto de mano hecho a la medida.

Dos años más tarde, la firma de ciberseguridad de Estados Unidos, Pen Test Partners, descubrió que el Chromecast aún era vulnerable a los ataques "deauth", lo que facilita la reproducción de contenido en los Chromecasts de un vecino en solo unos minutos.

Ken Munro, quien fundó Pen Test Partners, dice que "no es sorprendente que alguien más haya tropezado con eso", dado que Bishop Fix lo encontró en 2014 y su compañía lo probó en 2016.

"Para ser justos, nunca pensamos que el servicio se expondría en la Internet pública, por lo que es un hallazgo muy válido de su parte, todo el crédito para él", dijo Munro a VendeTodito.

Dijo que la forma en que se realiza el ataque es diferente, pero el método de explotación es el mismo. CastHack puede ser explotado a través de Internet, mientras que Bishop Fox y sus ataques "deauth" pueden llevarse a cabo dentro del alcance de la red Wi-Fi; sin embargo, ambos ataques permiten que el pirata informático controle lo que se muestra en la televisión desde el Chromecast, dijo.

Munro dijo que Google debería haber corregido su error en 2014 cuando tuvo la oportunidad.

"Permitir el control sobre una red local sin autenticación es una idea realmente tonta en [Google’s] parte ", dijo. "Porque los usuarios hacen cosas tontas, como exponer sus televisores en Internet, y los piratas informáticos encuentran errores en los servicios que pueden ser explotados".

Hacker Giraffe es el último en recurrir a la "seguridad del buen samaritano", al advertir a los usuarios sobre los problemas y brindarles consejos sobre cómo solucionarlos antes de que los hackers maliciosos tomen el control, donde las empresas de tecnología y los fabricantes de dispositivos han fallado en gran medida.

Pero Munro dijo que este tipo de ataques, a pesar de ser molestos e intrusivos, podrían explotarse para tener consecuencias mucho más maliciosas.

En una publicación en un blog el miércoles, Munro dijo que era fácil explotar otros dispositivos domésticos inteligentes, como un eco de Amazon, al secuestrar un Chromecast y obligarlo a reproducir comandos que son lo suficientemente altos como para ser recogidos por su micrófono. Eso sucedió antes, cuando los asistentes inteligentes se confunden cuando escuchan las palabras en la televisión o la radio y, de repente y sin previo aviso, compran artículos de Amazon. (Puede y debe activar un PIN para realizar pedidos a través de Amazon).

Para nombrar algunos, Munro dijo que es posible forzar a un Chromecast a cargar un video de YouTube creado por un atacante para engañar a un Echo para: "Alexa, pedir un iPad", o, "Alexa, apagar la alarma de la casa", o, "Alexa, programar una alarma todos los días a las 3 am".

Amazonas Se considera que los ecos y otros dispositivos inteligentes son seguros, incluso si son propensos a escuchar cosas que no deberían. A menudo, el eslabón más débil son los humanos. En segundo lugar, son los otros dispositivos alrededor de los asistentes de casa inteligentes los que representan el mayor riesgo, dijo Munro en su blog. Eso fue demostrado recientemente cuando Investigador de seguridad canadiense Render Man mostró cómo usar un transductor de sonido contra una ventana puede engañar a un Amazon Echo cercano para que desbloquee una cerradura inteligente conectada a la red en la puerta de la casa.

"Google necesita corregir adecuadamente el error de Chromecast que permite la transmisión del tráfico de YouTube", dijo Munro.

Los fabricantes de tecnología para el hogar inteligente no quieren decir si los federales vienen para sus datos

VendeTodito

48 total vistas, 0 hoy

Mark Zuckerberg está "orgulloso" de cómo Facebook manejó sus escándalos este año

tecnologia 28/12/2018

Después del año Mark Zuckerberg tenías, pensarías que le costaría parecer tan astuto.

"Estoy orgulloso del progreso que hemos logrado", dijo en una nota de fin de año publicada en su página de Facebook para que todos la vean. Reconociendo que la red social jugó un papel importante en la difusión del discurso de odio, la interferencia electoral y la información errónea, la nota de Zuckerberg parecía más optimista sobre su respuesta al huracán de daños causados ​​por los ataques de la compañía. laissez faire actitud ante los asuntos mundiales, y menos preocupado por mostrar arrepentimiento y empatía por el daño que Facebook causó el año pasado, incluida su incapacidad para mantener seguros los datos de sus usuarios y, sobre todo, su incapacidad para evitar que su sitio se use para incitar Violencia étnica y genocidio.

Los comentarios sordos de Zuckerberg leen como 1.000 palabras de palmaditas en la espalda.

Pero cuando el cofundador de Facebook se comprometió a "enfocarse en abordar algunos de los problemas más importantes que enfrenta nuestra comunidad", ignoró convenientemente algunos de los problemas más dañinos y continuos que la compañía ha mostrado poco deseo de resolver, optando en cambio por soluciones rápidas. o simplemente pretendiendo que no existen.

"Más de 30,000 personas que trabajan en seguridad …" no es suficiente para vigilar la plataforma

Hace una década, Facebook tenía solo 12 personas que moderaban todo su sitio, unos 120 millones de usuarios. Ahora, la compañía depende en gran medida de un ejército de contratistas mal pagados repartidos por todo el mundo para moderar el contenido de millones de publicaciones que pueden romper las reglas en el sitio cada semana.

Zuckerberg dijo que la compañía ha aumentado este año las personas que trabajan en seguridad a "más de 30,000 personas". Eso está por encima de los 33,600 empleados de tiempo completo que Facebook tenía a fines de septiembre. Pero esa es una tarea masiva para vigilar los 2.27 mil millones de usuarios activos mensuales de Facebook. Esos 30,000 nuevos contratistas de seguridad equivalen a un moderador por cada 75,660 usuarios.

Los contratistas de Facebook se han quejado durante mucho tiempo por las largas horas y la baja remuneración, y eso ni siquiera tiene en cuenta los miles de publicaciones espantosas, desde decapitaciones hasta abuso y explotación infantil, que tienen que revisar cada día. El volumen de negocios es comprensiblemente alto. Ninguna otra red social en el mundo tiene tantos usuarios como Facebook, y es imposible saber cuál es el "número correcto" de moderadores.

Pero los números no suman. El ejército de Facebook de 30,000 miembros del personal de seguridad no es suficiente para combatir el ataque violento del vitriolo y la violencia, y mucho menos contra un adversario avanzado como los actores del estado nación a los que está culpando constantemente.

Viajes de Facebook en sus propios fallos de moderación.

Facebook perdió a su director de seguridad este año, y no ha encontrado un reemplazo

Zuckerberg no mencionó la exposición de datos fotográficos ni las violaciones de cuentas con las que la empresa tuvo que lidiar este año, incluso si no pudo evitar mencionar a Cambridge Analytica, la firma de investigación de votantes que hizo un mal uso de la información de 87 millones de usuarios de Facebook.

Sin embargo, Zuckerberg no se comprometió a doblar los esfuerzos de la compañía para asegurar la plataforma, a pesar de los años de su mentalidad de "moverse rápido y romper cosas". Desde la partida del ex jefe de seguridad Alex Stamos en agosto, la compañía no ha contratado a su reemplazo. Todas las señales apuntan a que nadie toma la posición en absoluto. Si bien muchos ven a un director de seguridad como una posición de cabeza de figura, todavía ofrecen una visión de nivel ejecutivo sobre las amenazas que enfrentan y los problemas que deben afrontar, nunca más que nunca después de una serie de incidentes de seguridad vergonzosos y perjudiciales.

Zuckerberg dijo que la compañía invierte "miles de millones de dólares en seguridad anualmente". Eso puede ser cierto. Pero sin un ejecutivo que supervise ese presupuesto, no es indiferente saber que no hay nadie con los años de experiencia necesarios para supervisar la postura de seguridad de una empresa en control de dónde van esos miles de millones.

El ex jefe de seguridad de Facebook, Alex Stamos: ser un CSO puede ser un "trabajo de mierda"

No se reconoció el papel de Facebook en el genocidio de Myanmar.

Una noticia falsa, información errónea y entrometimiento en las elecciones es una cosa, pero la negativa de Zuckerberg a reconocer el impacto directo que tuvo Facebook en la violencia étnica de Myanmar, que Naciones Unidas está llamando genocidio.

No puede ser una gran sorpresa para Zuckerberg. La ONU dijo que Facebook tenía un "papel determinante" para incitar el genocidio en el país. A comienzos de este año, se enfrentó a preguntas directamente de los legisladores de Estados Unidos cuando le dijeron que declarara ante los senadores en abril. Los periodistas son arrestados y asesinados regularmente por informar sobre las actividades del gobierno respaldado por el ejército. El jefe de Facebook se disculpó, lo que los grupos de derechos humanos en el terreno llamaron "extremadamente insuficiente".

Facebook dijo la semana pasada que eliminó cientos de cuentas, páginas y grupos asociados con incitar a la violencia en Myanmar, pero continúa negándose a establecer una oficina en el país, a pesar de que los grupos en el terreno dicen que sería necesario demostrar que la región es seria .

Facebook no está equipado para detener la propagación del autoritarismo.

"Eso no significa que … la gente no encontrará más ejemplos de errores pasados ​​antes de mejorar nuestros sistemas".

Zuckerberg dijo en su nota que la compañía "no se enfocó tanto en estos temas como necesitábamos, pero ahora somos mucho más proactivos".

"Eso no significa que atraparemos a todos los malos actores o partes de contenido malo, o que la gente no encontrará más ejemplos de errores pasados ​​antes de mejorar nuestros sistemas", dijo. Algunos han visto que como una pista que algunos de Las peores revelaciones aún están por venir.. ¿Quizás es solo que Zuckerberg está cubriendo sus apuestas como una forma de compensar sus comentarios de críticas cuando el próximo y inevitable estreno de malas noticias llega a los cables?

En su publicación de 1.000 palabras, Zuckerberg dijo que estaba "orgulloso" tres veces, habló del "enfoque" de la compañía cuatro veces y de cuánto "progreso" se estaba haciendo cinco veces. Pero no había un solo "perdón" que ver. Por otra parte, ha pasado la mayor parte de su carrera en Facebook disculpándose por las fallas de la compañía. Algo más en este punto probablemente parecería trillado.

Zuckerberg terminó con una nota tan alegre como él comenzó, considerando el nuevo año como una oportunidad como "construir una comunidad y unir a la gente", y agregó: "Este es un gran nuevo año por venir".

Bueno, no puede ser mucho peor que este año. ¿O puede?

(función (d, s, id) {var js, fjs = d.getElementsByTagName (s)[0]; if (d.getElementById (id)) return; js = d.createElement (s); js.id = id; js.src = 'https://connect.facebook.net/en_US/sdk.js#xfbml=1&version=v3.2'; fjs.parentNode.insertBefore (js, fjs);} (document, 'script', 'facebook-jssdk'));

Para 2018, mi desafío personal ha sido centrarme en abordar algunos de los problemas más importantes que enfrenta nuestra comunidad …

Publicado por Mark Zuckerberg el viernes 28 de diciembre de 2018.

Vende Todito

57 total vistas, 1 hoy

Equifax, Western Union, Priceline se ponen de acuerdo con el fiscal general de Nueva York por aplicaciones móviles inseguras

tecnologia 17/12/2018

El fiscal general de Nueva York se ha conformado con cinco gigantes tecnológicos y financieros, que requieren que cada compañía implemente seguridad básica en sus aplicaciones móviles.

Los acuerdos obligan a Credit Sesame, Equifax (sí, Equifax), Priceline, Spark Networks y Western Union a garantizar que los datos enviados entre la aplicación y sus servidores estén encriptados. Específicamente, el fiscal general dijo que sus aplicaciones "podrían haber permitido que la información confidencial ingresada por los usuarios, como contraseñas, números de seguridad social, números de tarjetas de crédito y números de cuentas bancarias, sea interceptada por intrusos que emplean técnicas simples y bien publicitadas".

En otras palabras, sus aplicaciones móviles "fallaron" para implementar e implementar correctamente HTTPS, una de las medidas de seguridad mínimas más estrictas en la seguridad de cualquier aplicación moderna.

Los certificados HTTPS (también conocidos como certificados SSL / TLS) cifran los datos entre un dispositivo, como su teléfono o computadora, y un sitio web o servidor de aplicaciones, asegurando que no se puedan interceptar datos confidenciales, como números de tarjetas de crédito o contraseñas, mientras viaja a través de Internet, ya sea alguien que se encuentre en la misma red Wi-Fi de la cafetería o en su agencia de inteligencia federal más cercana.

Estos certificados son más comunes que nunca, sobre todo porque cuando no son increíblemente baratos, son completamente gratuitos, y la mayoría de los navegadores modernos en estos días le dirán sin rodeos cuando un sitio web no es seguro. Las aplicaciones no son diferentes, pero sin un candado verde en la ventana de su navegador, a menudo hay muy poco para saber con certeza que sus datos están atravesando Internet de forma segura.

Al menos, con las aplicaciones financieras, bancarias y de citas, simplemente asumirías, ¿no? Bzzt, mal

"Aunque cada compañía representó a los usuarios que utilizaron medidas de seguridad razonables para proteger su información, las compañías no probaron lo suficiente si sus aplicaciones móviles tenían esta vulnerabilidad", dijo la oficina de la fiscal general Barbara Underwood en un comunicado. "Los acuerdos de hoy requieren que cada empresa implemente programas de seguridad integrales para proteger la información del usuario".

Las aplicaciones se seleccionaron después de un extenso lote de pruebas de aplicaciones en un esfuerzo por encontrar problemas de seguridad antes de que sucedieran los incidentes. La oficina de Underwood sigue los pasos de la aplicación de la ley federal en los últimos años por parte de la Comisión Federal de Comercio, que inició acciones contra varios fabricantes de aplicaciones, entre ellos Credit Karma y Fandango, por no haber implementado correctamente los certificados HTTPS.

Al tomar medidas, el fiscal general tiene la oportunidad de seguir de cerca a las compañías para asegurarse de que no están incumpliendo sus responsabilidades de seguridad de datos.

La violación de Equifax era "completamente prevenible" si usara medidas de seguridad básicas, dice el informe de la Cámara de Representantes

VendeTodito

92 total vistas, 0 hoy

La mala respuesta de la violación de datos de Marriott está poniendo a las víctimas en riesgo de phishing

tecnologia 03/12/2018

El jueves pasado, Marriott envió millones de correos electrónicos advirtiendo de una violación masiva de datos: alrededor de 500 millones de reservas de clientes habían sido robadas de su base de datos Starwood.

Un problema: el dominio del remitente del correo electrónico no parecía que procediera de Marriott.

Marriott envió su correo electrónico de notificación desde "email-marriott.com", que está registrado a una firma de terceros, CSC, en nombre del gigante de la cadena hotelera. Pero no había mucho más para sugerir que el correo electrónico fuera legítimo: el dominio no se carga o no tiene un certificado de identificación HTTPS. De hecho, no hay una manera fácil de verificar que el dominio sea real, excepto una nota oculta en el sitio de notificación de violación de datos de Marriott que confirma que el dominio es legítimo.

Pero lo que hace que las cosas empeoren es que el correo electrónico es fácil de falsificar.

A menudo, lo que sucede después de una violación de datos, los estafadores capitalizarán el ciclo de las noticias engañando a los usuarios para que entreguen su información privada con su propio flujo de mensajes falsos y sitios web. Es más común de lo que piensas. Las personas que piensan que están en riesgo después de una violación son más susceptibles de ser engañadas.

Las empresas deben obtener información en sus propios sitios web y en las redes sociales verificadas para evitar que los malos actores secuestren víctimas para su propio beneficio. Pero una vez que comience a configurar su propia página dedicada, fuera de sitio, con su dominio único, debe considerar los ciberocupadores, aquellos que registran dominios de aspecto similar que se ven casi iguales.

Tome "email-marriot.com". Para el ojo inexperto, parece ser el dominio legítimo, pero muchos no se darían cuenta de la falta de ortografía. En realidad, pertenece a Jake Williams, fundador de Rendition Infosec, para advertir a los usuarios que no confíen en el dominio.

"Registré los dominios para asegurarme de que los estafadores no registraron los dominios ellos mismos", dijo Williams a VendeTodito. "Después de la Equifax incumplimiento, era obvio que esto sería un problema, por lo que registrar los dominios era solo un movimiento responsable para mantenerlos fuera del alcance de los delincuentes ".

Marriott dice que 500 millones de registros de invitados de Starwood fueron robados en una violación masiva de datos

Equifax, la brecha más grande del año pasado, llegó a los titulares no solo por su truco, sino también por su respuesta sorprendentemente mala. También creó un sitio dedicado a las víctimas, "equifaxsecurity2017.com", pero incluso el propio personal de la compañía en Twitter estaba confundido y sin darse cuenta envió a las víctimas a "securityequifax2017.com", un sitio falso creado por el desarrollador Nick Sweeting exponer la vulnerable respuesta a incidentes de la empresa.

Con la brecha de Equifax ni siquiera un recuerdo lejano, Marriott claramente no aprendió nada de la respuesta.

Muchos otros han hecho sonar la alarma sobre la falta de brillo en la respuesta a la violación de datos de Marriott. El experto en seguridad Troy Hunt, ¿Quién fundó el sitio de notificación de violación de datos ¿Me han enviado Pwned? un hilo de tweet largo en el uso de la cadena hotelera del dominio problemático. Como sucede, el dominio se remonta al menos a la comienzo de este año cuando Marriott usó el dominio para pedir a sus usuarios que actualicen sus contraseñas.

Williams no es el único que ha recurrido a defender a los clientes de Marriott de los ciberdelincuentes. Nick Carr, que trabaja en el gigante de seguridad FireEye, registró el nombre similar de "email-mariott.com" el día de la violación de Marriott.

"Por favor, observa dónde haces clic", escribió en el sitio. "Esperamos que este sea un sitio menos utilizado para confundir a las víctimas". Si Marriott hubiera enviado el correo electrónico desde su propio dominio, no sería un problema.

Un portavoz de Marriott no respondió a una solicitud de comentarios.

Un año más tarde, Equifax perdió sus datos pero enfrentó pocas consecuencias.

VendeTodito

103 total vistas, 0 hoy

Los gigantes tecnológicos toman asiento en el nuevo grupo de trabajo de la cadena de suministro de Homeland Security

tecnologia 15/11/2018

El grupo de trabajo de la cadena de suministro de Seguridad Nacional finalmente está despegado ..

La coalición público-privada, establecida a principios de este año, ahora cuenta con representantes de más de dos docenas de compañías y grupos de la industria que se inscribieron para ayudar al gobierno a tratar de combatir los riesgos que enfrentan las empresas de tecnología debido a amenazas en la cadena de suministro.

Llamado el Grupo de Trabajo de Cadena de Suministro de TIC, los funcionarios del gobierno esperan entender mejor para abordar los problemas de seguridad con las cadenas de suministro de tecnología global y hacer recomendaciones. Al colaborar, el grupo pretende comprender mejor los riesgos que enfrentan las empresas debido al espionaje industrial, la interferencia del gobierno y otros problemas de ciberseguridad que podrían representar una amenaza para la seguridad nacional de los Estados Unidos.

Uno de esos nuevos miembros es Edna Conway de Cisco, directora de seguridad de su cadena de valor global. Ella le dijo a VendeTodito que las empresas y los gobiernos "ya no pueden identificar, defenderse y mitigar de manera efectiva los riesgos en esa cadena de valor global de forma aislada".

Ella, como otros, ha pedido un esfuerzo de grupo para enfrentar las amenazas que enfrentan.

El grupo de trabajo no pudo venir lo suficientemente pronto. Si bien el gobierno ha sabido durante mucho tiempo sobre las amenazas a la cadena de suministro, la formación oficial del grupo se produce tras las controversiales afirmaciones de Bloomberg de que la inteligencia china se había infiltrado en la cadena de suministro del hardware del servidor con pequeños chips. Las afirmaciones de Bloomberg han sido en gran parte desacreditadas, o no han sido probadas según el estándar que muchos han pedido. Pero no disminuye la amenaza conocida desde hace mucho tiempo que enfrentan las industrias de electrónica y datos de EE. UU.

Al trabajar juntos, el grupo de trabajo tiene como objetivo crear recomendaciones de políticas que incentiven a las empresas a comprar hardware y software directamente de los proveedores originales y revendedores evaluados para reducir el riesgo de tener un tercero desconocido y no confiable en la mezcla. Uno de los objetivos finales es garantizar que solo los proveedores de confianza, que se atienen a un conjunto estricto de criterios establecidos por el grupo de trabajo, estén calificados para ofertar por los contratos.

"Cisco aporta a la fuerza de trabajo este espíritu de colaboración, una comprensión profunda del funcionamiento de las cadenas de valor de las TIC globales y mi experiencia en cambiar la seguridad y el riesgo de" limitar los daños "a un facilitador clave de la diferenciación empresarial", dijo Conway.

Cisco se une a otros gigantes tecnológicos y grandes empresas de telecomunicaciones en la mesa, incluyendo Accenture, AT&T, CenturyLink, Charter, Comcast, CTIA, CyberRx, Coalición de Seguridad Cibernética, Cyxtera, FireEye, Intel, ITI, IT-ISAC, Microsoft, NAB, NCTA, NTCA, Palo Alto Networks, Samsung, Sprint, Threat Sketch, TIA, T-Mobile, US Telecom y Verizon (el cual, como recordatorio, posee VendeTodito).

A ellos se unirán representantes de Seguridad Nacional, el Departamento de Defensa, el Departamento de Justicia, el Tesoro y la Oficina del Director de Inteligencia Nacional, entre otros en el gobierno.

El subsecretario de Seguridad Nacional, Christopher Krebs, dijo que al reunir a representantes del sector público y privado, el grupo de trabajo tiene "una capacidad única para enfrentar los desafíos actuales al compartir información en tiempo real entre el gobierno y la industria y desarrollar la capacidad de planificar mejor Los riesgos del futuro ".

La historia del chip espía de Bloomberg revela el oscuro mundo de los informes de seguridad nacional

VendeTodito

81 total vistas, 0 hoy

Hombre de Utah se declara culpable de causar cortes en el servicio de juegos de 2013

tecnologia 09/11/2018

Un hombre de Utah se declaró culpable de cargos de piratería informática, luego de admitir que dejó de prestar servicio a varios servicios de juegos en línea hace cinco años.

Austin Thompson, de 23 años, lanzó varios ataques de denegación de servicio contra los servicios de juegos Origin, Sony Playstation y Steam de Valve durante la temporada de vacaciones de diciembre de 2013.

En ese momento, esos ataques de denegación de servicio hacían casi imposible para algunos jugadores jugar, muchos de los cuales habían comprado nuevas consolas o juegos en el período previo a la Navidad, incluyendo Liga de Leyendas y dota 2, Porque requerían acceso a la red.

Los detalles del acuerdo de culpabilidad de Thompson no estaban disponibles públicamente en el momento de redactar este informe, pero los fiscales dijeron que Thompson, de 18 años en el momento de los ataques, inundó las redes de los gigantes de juego "con suficiente tráfico de internet para desconectarlos"

Thompson llevaría a su cuenta de Twitter, @DerpTrolling, para anunciar sus objetivos antes de tiempo, y publicó capturas de pantalla de servicios derribados tras sus ataques. Los ataques de Thompson causaron más de $ 95,000 en daños, dijeron los fiscales.

"Los ataques derribaron servidores de juegos y computadoras relacionadas en todo el mundo, a menudo durante horas", dijo Adam Braverman, fiscal de distrito del sur de California, en un comunicado.

"Los ataques de denegación de servicio cuestan a las empresas millones de dólares al año", dijo Braverman. "Estamos comprometidos a encontrar y procesar a quienes interrumpen los negocios, a menudo por nada más que ego".

Thompson enfrenta hasta diez años de prisión, está programado para ser sentenciado en marzo.

VendeTodito

71 total vistas, 0 hoy

Página 1 de 21 2