Summer is here! Para mucha gente, eso ha significado temperaturas cálidas, nadar y un verano mucho mejor que el año pasado. Para nosotros en SSL.com, significa que es hora de mirar hacia atrás en junio y ver lo que sucedió en seguridad digital. Siga leyendo para conocer lo que hemos encontrado y deje que el conocimiento lo guíe hacia experiencias seguras en línea en el futuro.
RockYou2021: miles de millones de contraseñas filtradas en línea
Bueno, sucedió. Se filtró la colección de contraseñas más grande del mundo, y todas las 8.4 millones de ellos se publicaron en un foro utilizado por piratas informáticos. Como Anthony Spadafora informes para techradar pro, las contraseñas "probablemente se combinaron con filtraciones y violaciones de datos anteriores". En una típica publicación en un foro, el hacker afirmó que la filtración fue diez veces mayor (82 mil millones), pero 8,459,060,239 contraseñas únicas ya es bastante malo. El artículo explica una conexión inesperada de las redes sociales a la era de MySpace que le dio a la filtración su título:
El usuario del foro que publicó la colección de contraseñas apodó la compilación 'RockYou2021', que probablemente sea una referencia a la violación de datos de RockYou que ocurrió en 2009. En ese momento, los ciberdelincuentes se abrieron camino en los servidores de la empresa que fabricaba widgets para los usuarios. 'MySpace y pudimos obtener más de 32 millones de contraseñas almacenadas en texto sin formato.
La filtración es más del doble de la filtración de datos más grande anterior: "La recopilación de muchas infracciones. " Como señala el artículo, eso se puede atribuir en parte al hecho de que RockYou2021 incluye todas las contraseñas de la Compilación de muchas infracciones. Además, vale la pena recordar que la cantidad de contraseñas supera la cantidad de personas en línea, que es de solo 4.7 mil millones.
Productor de carne paga $ 11 millones a atacantes de ransomware
Ataques Ransomware han estado en los titulares últimamente, y es fácil ver por qué. En otro incidente que interrumpió los negocios internacionales, JBS Foods, el mayor proveedor de carne del mundo, reveló que había pagado $ 11 millones para arreglar un incidente que amenazaba sus operaciones internacionales. Un comunicado de la empresa, reportado por Simon Sharwood de El registro, explica que tomaron la decisión de pagar "(e) n una consulta con profesionales de TI internos y expertos en ciberseguridad externos ... para mitigar cualquier problema imprevisto relacionado con el ataque y garantizar que no se exfiltraron datos". El artículo continúa:
“Se está llevando a cabo una investigación del incidente. JBS escribió que no puede ofrecer "determinaciones finales" sobre el incidente y describió la opinión del FBI de que los perpetradores son "uno de los grupos de ciberdelincuentes más especializados y sofisticados del mundo".
De hecho, el FBI ha publicado una declaración que atribuye el ataque a un grupo que ha sido vinculado al ataque Colonial Pipeline.
Depósito de códigos internos del estado de Nueva York expuesto
Oh, muchacho. Tech CrunchZach Whittaker informes que un banco de códigos interno utilizado por la oficina de TI del estado de Nueva York se abrió para que todo el mundo lo viera. Esas son malas noticias, ya que el repositorio contenía "claves secretas y contraseñas asociadas con los sistemas del gobierno estatal". SpiderSilk, una empresa de ciberseguridad de Dubái, descubrió el servidor GitLab, que era "accesible desde Internet y configurado para que cualquier persona ajena a la organización pudiera crear una cuenta de usuario e iniciar sesión sin obstáculos", según el director de seguridad de SpiderSilk, Mossab Hussein a través de TechCrunch.
Después de afirmar que el servidor estaba abierto y aceptar nuevas cuentas de usuario, TechCrunch se comunicó con la oficina del gobernador y el servidor se desconectó después de que aparentemente había estado funcionando desde al menos marzo. Finalmente, un portavoz atribuyó la violación de seguridad a un proveedor y negó que hubiera datos en riesgo.
ALPACA: Nuevo estudio de ataques entre protocolos en HTTPS
Este es un poco complicado, pero es importante, así que tengan paciencia con nosotros. Esencialmente, un nuevo estudio analiza los posibles estragos que un atacante intermediario podría crear al confundir un navegador que intenta conectarse a un sitio web HTTPS y "engañarlo" para que se conecte a un servidor que ejecuta un protocolo diferente, como un FTP o correo electrónico servidor. Los investigadores han denominado este tipo de ataque de confusión de contenido en la capa de aplicación "ALPACA". Como Ars Technica informes en una pieza de Dan Goodin,
Debido a que el navegador se comunica en HTTPS y el servidor de correo electrónico o FTP utiliza SMTP, FTPS u otro protocolo, existe la posibilidad de que las cosas salgan terriblemente mal; una cookie de autenticación descifrada podría enviarse al atacante, por ejemplo, oa un atacante podría ejecutar código malicioso en la máquina visitante ... En un trabajo de investigación publicado el miércoles, Brinkmann y otros siete investigadores investigaron la viabilidad de usar lo que ellos llaman ataques de protocolo cruzado para evitar TLS protecciones. La técnica implica que un atacante MitM redirija solicitudes HTTP de origen cruzado a servidores que se comunican a través de SMTP, IMAP, POP3 o FTP u otro protocolo de comunicación.
El adversario de MitM no puede descifrar el TLS tráfico, pero aún hay otras cosas que el adversario puede hacer. Obligar al navegador del objetivo a conectarse a un servidor de correo electrónico o FTP en lugar del servidor web previsto, por ejemplo, puede hacer que el navegador escriba una cookie de autenticación en el servidor FTP. O podría habilitar ataques de secuencias de comandos entre sitios que hacen que el navegador descargue y ejecute JavaScript malicioso alojado en el servidor FTP o de correo electrónico.
El artículo señala que, en general, tal ataque “es muy situacional y apunta a usuarios individuales”, lo que hace que el riesgo para el público en general no sea tan alto en este momento. Sin embargo, a medida que se protegen más servicios con TLS, podría convertirse en un patrón más generalizado, por lo que ahora es el momento de mitigar la amenaza. Los autores del estudio ALPACA Attack recomiendan el uso del Negociación de protocolo de capa de aplicación (ALPN) y Indicación de nombre del servidor (SNI) TLS extensiones para mitigar la amenaza.