La compañía brindó detalles adicionales sobre los robos de datos que sufrió en los últimos años.

En una presentación regulatoria, Yahoo! reveló algunos detalles adicionales sobre las brechas de seguridad que han afectado a más de mil millones de cuentas. Entre esa información está la noticia de que los hackers que obtuvieron el código de Yahoo! fueron capaces de crear sus propias cookies con las que accedieron a 32 millones de cuentas entre 2015 y 2016. Además, la declaración proporcionada aclara que Yahoo! notificó a 26 personas y consultó con especialistas legales después de enterarse que los piratas informáticos habían entrado a sus sistemas

Yahoo! reveló públicamente el alcance de estos ataques en diciembre pasado, pero admitió en el informe que en 2014 “ciertos altos ejecutivos no comprendieron o investigaron apropiadamente y por lo tanto no actuaron adecuadamente respecto a lo conocido internamente por el departamento de seguridad de la compañía”.

Como resultado de la investigación, la junta directiva ha decidido que la CEO Marissa Mayer no recibirá un bono en efectivo por su labor en 2016, mientras que el consejero general Ronald S. Bell ha presentado su renuncia. Además, vale destacar que como resultado de las revelaciones relacionadas al robo de datos de los usuarios, de los cuales Mayer asegura haber sido notificado recién en septiembre del año pasado, Verizon recortó US$ 350 millones de su oferta global para adquirir Yahoo!

Compartí este artículo

La vulnerabilidad exponía a las computadoras de Apple a un software malicioso. El problema ya fue solucionado.

Esta semana, investigadores de seguridad de Google han descubierto una vulnerabilidad en un software antivirus de Mac que – en contra de su propósito – expone su sistema a un software malicioso. Curiosamente, la aplicación fue desarrollada por la misma compañía que descubrió hace algunas semanas un malintencionado malware en la plataforma Pornhub.

Los ingenieros Jason Geffner y Jan Bee encontraron la falla en Endpoint Antivirus 6 de ESET para macOS, desarrollado específicamente para “eliminar todo tipo de amenazas, incluyendo virus, rootkits, gusanos y spyware” según la descripción de la compañía.

Increíblemente, el software de protección estaba plagado de “filtraciones” que hacían que los usuarios fueran susceptibles a los ataques. Según los investigadores, estos errores permitieron a los atacantes acceder remotamente a los dispositivos mediante la explotación de bibliotecas de análisis de XML obsoletas.

Para ser más específicos, el riesgo provenía de la biblioteca de análisis POCO XML que incluye un código del analizador Expat XML, que sufre de un fallo bien documentado que permitía a los atacantes realizar una “ejecución arbitraria de código a través de contenido XML malformado”.

Esto permitió a los hackers interceptar las solicitudes a la biblioteca y entregar documentos XML maliciosos usando un certificado HTTPS auto-firmado, otorgando a los atacantes privilegios de root en las Macs.

Aunque el informe de vulnerabilidad fue presentado originalmente en noviembre del año pasado, Google le dio a ESET tres meses para solucionar el problema antes de publicar la documentación completa del error a principios de esta semana el 27 de febrero.

ESET ha actualizado su aplicación antivirus y solucionado el problema. En caso de que una Mac ejecute la versión afectada del programa, se puede obtener la última versión (6.4.168.0) del software en el sitio oficial de la compañía.

Compartí este artículo

ACTUALIZACIÓN DE SEGURIDAD WORDPRESS

NextGen PLUGIN

Un plugin de WordPress instalado en más de un millón de sitios acaba de corregir una grave vulnerabilidad de inyección de SQL que puede permitir a los atacantes robar datos de la base de datos de un sitio web.

El nombre del plugin vulnerable es NextGEN Gallery, un plugin tan exitoso que tiene su propio conjunto de plugins.

Dos opciones de configuración del plugin de Galería NextGEN dejan al descubierto nuestro WordPress a posibles ataques.

Primer escenario de ataque

Según la empresa de seguridad web Sucuri, quien descubrió los problemas de seguridad de NextGEN Gallery, el primer escenario de ataque puede ocurrir si un propietario de WordPress activa la opción NextGEN Basic TagCloud Gallery en su sitio.

Esta característica permite a los propietarios de sitios mostrar galerías de imágenes que los usuarios pueden navegar a través de etiquetas. Al hacer click en una de estas etiquetas, se modifica la URL del sitio a medida que el usuario navega por las fotos.

Sucuri dice que un ataque puede modificar los parámetros de enlace e insertar consultas SQL que serán ejecutadas por el plugin cuando el atacante cargue la URL malformada.

Segundo escenario de ataque

El segundo escenario puede ocurrir si los propietarios de sitios web abren su sitio para posteos de blogs. Debido a que los atacantes pueden crear cuentas en el sitio y enviar una publicación o un artículo para su revisión, también pueden insertar los shortcodes malformados de NextGEN Gallery.

El experto de Sucuri, Slavco Mihajloski, dice que un código corto como el siguiente puede usarse para atacar sitios.

[Querycode1] [any_text1]% 1 $% s [any_text2] [querycode2]

El problema radica en cómo las funciones de complemento interno manejan este código. Por ejemplo, % s se convertirá en ‘% s’ y romperá eficazmente la consulta SQL en la que se inserta esta cadena.

Esto permite al atacante agregar código SQL malicioso después de este bloque de caracteres y hacer que se ejecute dentro del backend del sitio. Dependiendo del nivel de habilidad del atacante, esto puede permitirle volcar la base de datos del sitio y robar registros personales del usuario.

Sucuri dio a esta vulnerabilidad una puntuación de 9 de 10, principalmente debido a lo fácil que era para explotar el defecto, incluso para los atacantes no técnicos.

Sucuri dice que los autores del plugin arreglaron esta falla en NextGEN Gallery 2.1.79. Al leer el changelog del plugin por su cuenta, será muy difícil detectar que la versión 2.1.79 solucionó una falla de seguridad severa.

En el momento de escribir esto, el archivo de cambios de NextGEN Gallery en el repositorio de plugins de WordPress sólo dice “Cambiado: Ajuste de la visualización de etiquetas”.

Si sos usuario de este plugin y contás con una versión anterior a 2.1.79, tu sitio es vulnerable, por lo que no dejes de actualizar NetxGen plugin:

https://wordpress.org/plugins/nextgen-gallery/

Compartí este artículo

La función ya comenzó a ser desplegada de manera gradual a todos los usuarios del sistema operativo.

A partir de esta semana, los usuarios de Android podrán acceder a una pequeña pero útil actualización, ya que Google agregó la posibilidad de buscar archivos de Drive directamente desde su aplicación de búsqueda. Hasta ahora, esto era posible únicamente dentro de la app ofimática de la compañía.

Para utilizarla, simplemente hay que escribir en la barra de búsqueda el nombre del archivo, seleccionar la pestaña “En apps” (se encuentra junto a las pestañas de imágenes, noticias, videos, etc.) y chequear los resultados entregados. Al seleccionar el archivo, éste se abrirá en la aplicación de Google Drive. Vale destacar que esta sección también muestra resultados dentro de GMail, YouTube, redes sociales (Facebook, Twitter) y otras aplicaciones que estén instaladas en el dispositivo.

Si bien sería mucho más cómodo que los archivos aparecieran sin necesidad de pulsar sobre la pestaña “En Apps”, aún así se trata de una herramienta sumamente útil. La función ya comenzó a ser desplegada de manera gradual a todos los usuarios, por lo que no todos podrán acceder a ella al mismo tiempo. Por otro lado, por ahora no hay noticias sobre la implementación de esta solución en iOS, pero se estima que podría estar disponible en los próximos meses.

Compartí este artículo

El servicio de mensajería permite publicar fotos y videos cortos en el apartado “status”, ofreciendo a los usuarios una herramienta de personalización extra para mostrar su estado de ánimo.

Facebook parece empecinado en replicar la “experiencia Snapchat” en todas sus plataformas. La compañía estadounidense ya habilitó funciones similares a las de su rival tanto en su app como en Instagram, y ahora ha anunciado que hará lo mismo en WhatsApp.

La flamante función, que está disponible con la nueva actualización de la plataforma para Android, iOS y teléfonos con Windows, permite publicar fotos y videos cortos en el apartado “status”, ofreciendo a los usuarios una herramienta de personalización extra para mostrar su estado de ánimo.

Si bien esta renovación luce un poco forzada – ya que la mayoría de los usuarios del servicio de mensajería ni siquiera actualiza regularmente sus fotos de perfil – es un paso más de Facebook en su afán por delimitar el campo de acción de Snapchat. Con esta movida buscan que los usuarios dejen de lado a su competidor y, en cambio, utilicen las mismas funciones en alguna de sus plataformas móviles.

Vale destacar que, a priori, el miedo de la compañía es racional, ya que Snapchat tiene 158 millones de usuarios diarios y una presencia muy fuerte sobre todo en los Estados Unidos. Si bien Facebook multiplica por 10 ese número, no quiere dejar ningún cabo suelto en su pelea por ser la plataforma social más convocante del mundo.

Compartí este artículo

Ingreso Clientes

Datos incorrectos. Por favor revisa el e-mail y la contraseña.

Ingresaste correctamente.

Olvidé mi contraseña

Cerrar

Recuperar contraseña

Te llegará un correo con la información acerca de como proceder.

Volver

Cerrar