Inicio
Resumen de Seguridad
Digest de Seguridad de Base de Datos – Enero 2018

Digest de Seguridad de Base de Datos – Enero 2018

Aquí hay un vistazo rápido a las noticias sobre seguridad de bases de datos en enero de 2018

Coincheck

La exchange de criptomonedas con sede en Tokio, Coincheck, pierde más de $ 400 millones en un ataque de piratería. Los hackers han llevado a cabo el mayor robo de criptomonedas de todos los tiempos hasta ahora, enviando a los clientes a un estado de pánico sobre el futuro de sus activos virtuales. La exchange Coincheck está negociando en la moneda virtual NEM y reportó una caída significativa en el balance de la moneda virtual. La investigación mostró que alrededor de $ 400 millones en NEM se habían transferido ilegalmente a algunas cuentas no identificadas. Los depósitos de NEM de todos los clientes fueron congelados y Coincheck tuvo que congelar todas las retiradas. En este momento, la gerencia de la compañía está investigando el accidente. El robo fue posible debido a que el equipo ejecutivo no implementó funciones de seguridad básicas.

Blackwallet

La criptomoneda Stellar Lumen fue objetivo de un ataque de piratería. Los atacantes pudieron redirigir el servidor DNS a un servidor controlado por los delincuentes. El resultado de este robo fue 670,000 Lumens (aproximadamente $400,000) desaparecidos. Según los expertos, el exploit utilizado fue una inyección de código. Si los usuarios de Blackwallet tenían más de 20 Lumens en sus billeteras, sus fondos se enviaban automáticamente a una billetera diferente que aparentemente pertenecía al atacante.

Vtech

Los cargos se elevan a $650,000 para un fabricante de juguetes electrónicos con sede en Hong Kong. La Comisión Federal de Comercio de los EE. UU. (FTC) levantó los cargos contra VTech tras la violación de datos en 2015. Se llegó a un acuerdo con la FTC después de dos años de investigación. Ahora, el fabricante de juguetes tiene que pagar $650,000 para resolver los cargos debido a que no protegió la privacidad de sus usuarios. El fabricante de juguetes electrónicos VTech acumuló mucha información sobre niños y padres que usaban su aplicación Kid Connect. Sin embargo, al hacerlo, la compañía no buscó el consentimiento de los padres ni le dijo a los niños qué datos se estaban recopilando.

La investigación mostró que las prácticas de seguridad en la compañía eran pobres y uno podría acceder fácilmente a los nombres de los padres y los niños, direcciones domiciliarias e incluso fotos y registros de chat. El hacker utilizó un método simple pero aún muy efectivo de inyección SQL que le permitió ver fotos y archivos de audio subidos por niños y padres. En el futuro, la compañía prometió mantener una seguridad más estricta y prestar más atención a la protección de datos personales.

Jason’s Deli

Ha habido una violación masiva de datos de esta cadena de restaurantes de propiedad familiar en los EE. UU. Los investigadores dicen que los hackers usaron un malware de raspado de RAM instalado en los terminales de punto de venta en todos los EE. UU. desde el 8 de junio de 2017. La gerencia de la compañía notificó al público que los hackers pudieron obtener información de hasta 2 millones de números de tarjetas, incluidos los nombres de los titulares de las tarjetas, fechas de vencimiento, valores de verificación de los titulares de las tarjetas y códigos de servicio.

OnePlus

La compañía OnePlus es responsable de la filtración de hasta 40,000 detalles de tarjetas de crédito como resultado de un ataque de piratería. Cualquiera que haya realizado su compra en línea puso su información de tarjeta de crédito en riesgo y probablemente querrá contactar a sus bancos. La información de la tarjeta de crédito fue robada de los clientes mientras realizaban sus compras en el sitio web del fabricante. Parece que el eslabón más débil en el sitio web podría ser la integración de pagos de la compañía con la plataforma de comercio electrónico Magento.

Firmas de abogados principales del Reino Unido

Los investigadores de ciberseguridad han encontrado vertederos de archivos en la Internet Oscura. Estas bases de datos contienen alrededor de 1.2 millones de entradas filtradas de varias empresas de abogados principales del Reino Unido. Estas entradas contienen direcciones de correo electrónico y el 80 por ciento de ellas estaban conectadas a contraseñas. Para empeorar la situación, algunas contraseñas estaban en texto plano. Con esta información, los hackers o prácticamente cualquiera pueden saltarse cualquier sistema de defensa corporativa de la empresa utilizando credenciales legítimas sin ser detectados.