Pequeño resumen Infosec Hogwarts no enseña un encantamiento que podría haber salvado al editor de Harry Potter, Scholastic, de sentir el poder de un mago en línea que se llevó millones de registros de clientes, excepto quizás la magia de la autenticación multifactor.
Scholastic, editor de las ediciones estadounidenses de las series de Harry Potter y Los juegos del hambre, junto con otras series de libros infantiles como El autobús mágico y La piel de gallina, fue agregado a la base de datos Have I Been Pwned la semana pasada después de que surgiera un hacker autodenominado «peludo», no asociado con el otro Afirman que son piratas informáticos peludos que violan un portal de empleados y extraen alrededor de ocho millones de datos.
El Daily Dot, que habló Para el hacker que se identificó con el nombre de «Parasocial», dijo que obtuvo acceso al portal de empleados después de robar las credenciales de inicio de sesión de un empleado de Scholastic cuyo sistema estaba infectado con malware.
Los datos que robó Parasocial, que fueron revisados por el Daily Dot, contenían 4.247.768 direcciones de correo electrónico únicas y una combinación de nombres, números de teléfono y direcciones particulares de clientes con sede en EE. UU. Más de un millón de los registros comprometidos pertenecían a contactos educativos (es decir, profesores y administradores), mientras que el resto supuestamente pertenecía a padres. El Daily Dot informó que a los padres se les solicita que ingresen los nombres de sus hijos cuando se registran con el editor.
Afortunadamente para aquellos cuyos datos fueron eliminados por Accio de la base de datos de Scholastic, Parasocial no es un mortífago: supuestamente no tienen planes de hacer públicos los datos, afirmando haber violado la base de datos por aburrimiento.
«Esta es una lección que se debe aprender de la manera más difícil. No permita que sus clientes reciban el impacto de sus fallas de seguridad, use MFA», dijo el hacker.
Scholastic no ha reconocido públicamente la violación.
«Inmediatamente después de enterarse de este reclamo, nuestros equipos de seguridad internos comenzaron una investigación con expertos líderes en ciberseguridad externos para identificar cualquier posible acceso no autorizado a los sistemas Scholastic», dijo un portavoz de la compañía. «En este momento, nuestra investigación está en curso».
Vulnerabilidades críticas de la semana: parchear esos interruptores industriales
Un trío de vulnerabilidades de seguridad en los conmutadores Ethernet industriales WGS-804HPT de Planet Technology revelado La semana pasada, Claroty, el equipo de seguridad de información de IoT, debería dirigir a cualquiera que pueda estar operando uno de los dispositivos a la página de descarga de parches.
Dos de las vulnerabilidades (CVE-2024-52320 y CVE-2024-48871) han sido etiquetados con una puntuación CVSS de 9,8 y se pueden encadenar para obtener poderes de ejecución remota de código en los dispositivos afectados.
El otro defecto crítico que detectamos la semana pasada (aparte de los señalados en nuestro Cobertura del martes de parchestenía calificación CVSS 9.9 – CVE-2023-48365 que afecta a Qlik Sense Enterprise para Windows antes de agosto de 2023. El parche 2 permite RCE. Los sistemas sin parches están siendo explotados activamente.
Los secretos de las aplicaciones de Android son fáciles de robar, dicen los investigadores
Las aplicaciones de Android son sorprendentemente malas para guardar secretos, según determinó un cuarteto de investigadores de Canadá y Hong Kong en un estudio publicado recientemente. papel.
Según su trabajo, que examinó 23.041 aplicaciones de Android disponibles en Google Play y buscó 575 secretos, como API y claves o tokens de cifrado, 4.020 de ellas contenían al menos un secreto explotable. Tampoco fue difícil conseguir los datos.
«Ideamos una estrategia de minería de texto utilizando expresiones regulares y demostramos que numerosos secretos de aplicaciones pueden robarse fácilmente, incluso desde… aplicaciones de Android muy populares», escribió el equipo.
Por ejemplo, se encontraron veinticinco claves de cifrado integradas en aplicaciones en texto plano. También se detectaron 24 credenciales de servicios back-end privados de aplicaciones. Como las aplicaciones encuestadas eran populares con una gran base de usuarios, el equipo cree que esto presenta un problema para el ecosistema de aplicaciones de Android.
«Incluso los desarrolladores de aplicaciones bien mantenidas pueden descuidar la importancia de proteger los secretos de las aplicaciones», afirmó el grupo. «Esto resalta la necesidad de crear conciencia sobre el tema entre todos los desarrolladores de Android».
Los ataques DDoS golpean a las universidades holandesas
Las universidades de los Países Bajos se vieron afectadas por un segundo día de ataques distribuidos de denegación de servicio, lo que provocó importantes interrupciones en sus redes y retrasó algunas clases, según medios holandeses. reportado Viernes.
Los ataques que sufrió el proveedor de servicios de TI para la educación SURF dicho La operación, que había estado en curso desde el miércoles, se reanudó el viernes. NAVEGAR anotado que los ataques comenzaron a las 08.20 hora local y saltaban entre objetivos en su red. Las mitigaciones detuvieron el ataque a las 11.40 de la misma mañana, pero el proveedor hizo afirmaciones similares de haber tomado medidas para detener futuros ataques también el miércoles y jueves.
No está claro quién está detrás de los ataques, pero no son sólo las universidades del país las que han sido afectadas esta semana. DigiD, el servicio de inicio de sesión del gobierno holandés, también fue afectado por un ataque DDoS la semana pasada, lo que lo dejó fuera de línea durante la mayor parte del martes 14 de enero, informó el gobierno. dicho.
Se desconoce si los ataques están relacionados, y tampoco se nombró al culpable detrás del DigiD DDoS.
La última campaña de empleo falso de Corea del Norte es más peligrosa que nunca
Cada vez que nos damos vuelta, aparece otra campaña de malware de empleo falso en las noticias, pero la última campaña del Grupo Lazarus, vinculado a Corea del Norte, es «una clase magistral». escribió los investigadores de SecurityScorecard que lo encontraron.
A diferencia de la campaña anterior de Lázaro llamada Operación Trabajo de ensueño que engañó a los desarrolladores para que descargaran archivos maliciosos, éste, llamado Operación 99, parece ser una estafa larga y sofisticada.
Lazarus Group parece haber creado perfiles de reclutadores falsos en LinkedIn para apuntar a desarrolladores en el espacio Web3 y criptográfico. La infección de malware de robo de criptomonedas que es el objetivo final de la campaña está oculta en un repositorio de GitLab que el «reclutador» le pide a su víctima que clone después de realizar primero otras tareas que parecen diseñadas para probar las habilidades y la idoneidad de los candidatos para un trabajo.
Según todos los indicios, ésta parece ser otra campaña motivada financieramente en consonancia con la estrategia de Corea del Norte. forma de trabajar de atracos de criptomonedas.
Texas demanda a Allstate por recopilar y vender datos de clientes
Ken Paxton, fiscal general de Texas anunciado una demanda contra la firma de seguros de automóviles Allstate y su filial de análisis de datos Arity, alegando la recopilación y el uso ilegal de datos de conductores para crear lo que afirma ser «la base de datos de comportamiento de conducción más grande del mundo» sin el consentimiento del cliente.
Los datos sobre los conductores fueron recopilados pagando a desarrolladores de aplicaciones de terceros para que incrustaran rutinas en sus aplicaciones, alegó el AG, lo que resultó en la recopilación de «billones de millas en datos de ubicación de más de 45 millones de consumidores en todo el país».
Esos datos, a su vez, supuestamente se utilizaron para informar decisiones de suscripción, lo que podría afectar las primas y la cobertura de seguros, todo sin que los clientes hubieran dado su consentimiento para que sus datos fueran recopilados, utilizados o vendidos para ese propósito, según el expediente.
La demanda sigue a General Motors asentamiento con la Comisión Federal de Comercio por acusaciones de que participó en un plan similar utilizando los servicios de OnStar disponibles en sus vehículos. ®