DataSunrise está patrocinando AWS re:Invent 2024 en Las Vegas, por favor visítenos en el stand #2158 de DataSunrise

Este sitio web almacena cookies para recopilar información sobre cómo interactúas con nuestro sitio web. Para obtener más información, visita nuestra Política de Privacidad.

Digest de Seguridad de Bases de Datos – Noviembre 2017

El siguiente digest presenta las noticias más importantes sobre seguridad de bases de datos de noviembre.

Gigante Naviero del Reino Unido Clarksons Hackeado: Los Datos Pueden Ser Filtrados en Cualquier Momento

La empresa naviera británica Clarksons confirmó que había sido atacada recientemente por hackers. La empresa dijo que los cibercriminales han accedido a sus sistemas y que el público debería esperar que algunos de los datos corporativos sensibles y confidenciales se filtren.

Sigue sin estar claro cuándo exactamente fue hackeada la empresa Clarksons y cuándo se descubrió la brecha. La cantidad del rescate y la identidad de los hackers siguen siendo desconocidas.

Así, al convertirse en víctima de los hackers, Clarksons se une a la lista de grandes empresas golpeadas por un importante ciberataque este año.

Uber Confirmó Oficialmente Una Masiva Brecha de Datos

Una empresa global de tecnología de transporte, Uber, divulgó oficialmente una masiva brecha de datos. Los hackers irrumpieron en la base de datos de la aplicación y robaron la información personal de 57 millones de pasajeros y conductores, incluyendo sus nombres, direcciones de correo electrónico y números de teléfono. La empresa pagó a los hackers 100,000 USD para eliminar los datos y mantener la brecha en secreto. El ataque ocurrió en 2016 y el pago se disfrazó como un premio por encontrar bugs. Sin embargo, el CEO de Uber, Dara Khosrowshahi, reveló esta brecha en noviembre de 2017.

Los expertos en ciberseguridad declararon que “el ataque fue un acto criminal y también lo fue el encubrimiento”. Los expertos también dijeron que “las empresas deben tener en cuenta la posibilidad de fallos de seguridad y anticipar el comportamiento malicioso de cualquier actor”.

Mientras tanto, Financial Times informó que los últimos resultados trimestrales de Uber mostraron que las pérdidas ajustadas se habían ampliado a 734 millones USD, un aumento del 14 por ciento en el trimestre anterior.

1.7 Millones de Usuarios de IMGUR Fueron Comprometidos

Imgur, el popular servicio de compartir imágenes, confirma que direcciones de correo electrónico y contraseñas fueron robadas en una brecha de seguridad ocurrida en 2014. El hackeo pasó desapercibido por 4 años hasta que un investigador de seguridad, Troy Hunt, informó a IMGUR que tiene detalles de la información robada de los usuarios de Imgur.

La empresa sigue investigando la causa del hackeo y cree que podría ser el resultado de un antiguo algoritmo que se utilizaba en ese momento.

PayPal Cerró el Servicio de Tio Networks Que Filtró 1.6 Millones de Registros

PayPal Holdings Inc. dijo que la información personal identificable de 1.6 millones de usuarios ha sido potencialmente comprometida en una empresa que adquirió a principios de este año.

Entre la información de los clientes posiblemente afectada se encuentran nombres, direcciones, detalles de cuentas bancarias, números de Seguro Social y datos de inicio de sesión de los consumidores que usaron TIO para pagar facturas.

A los clientes se les ha ofrecido verificaciones de crédito gratuitas y seguro contra el robo de identidad. Mientras tanto, las acciones de PayPal ya habían bajado un 0.6%.

Actualización de Emergencia de Oracle

Oracle ha lanzado una actualización de emergencia para vulnerabilidades graves que afectan a varios de sus productos que dependen de su protocolo propietario Jolt, con dos de los errores puntuando 9.9 y 10 en la escala CVSS. Los errores fueron descubiertos por investigadores de ERPScan que nombraron la serie de cinco vulnerabilidades como JoltandBleed, debido a las similitudes con la vulnerabilidad de 2014 descubierta en el bug HeartBleed de OpenSSL. Describe las vulnerabilidades de la siguiente manera:

  • CVE-2017-10272 es una vulnerabilidad de divulgación de memoria; su explotación da a un atacante la oportunidad de leer remotamente la memoria del servidor (9.9 en la escala CVSS)
  • CVE-2017-10267 es una vulnerabilidad de desbordamiento de pila (7.5 en la escala CVSS)
  • CVE-2017-10278 es una vulnerabilidad de desbordamiento de montón (7.0 en la escala CVSS)
  • CVE-2017-10266 es una vulnerabilidad que permite a un actor malicioso forzar la contraseña de DomainPWD utilizada para la autenticación del Protocolo Jolt (5.3 en la escala CVSS)
  • CVE-2017-10269 es una vulnerabilidad que afecta al Protocolo Jolt; permite a un atacante comprometer todo el sistema PeopleSoft. (10 en la escala CVSS)

Vulnerabilidad Crítica de MongoDB

Puntuación de severidad CVSS 9.1

MongoDB tiene una configuración desactivada por defecto, networkMessageCompressors (también conocida como compresión de protocolo de red), que expone una vulnerabilidad cuando está habilitada que podría ser explotada por un atacante malicioso para denegar el servicio o modificar la memoria.

Actualización de PostgreSQL 10.1

El lanzamiento contiene una variedad de correcciones relacionadas con fallos, consultas incorrectas, errores de tablas y varias vulnerabilidades. Consulte la nota de lanzamiento para más detalles.

Digest de Seguridad de Bases de Datos – Octubre Digest de Seguridad de Bases de Datos – Septiembre Digest de Seguridad de Bases de Datos – Agosto

Siguiente

Digest de Seguridad de Bases de Datos – Febrero 2018

Digest de Seguridad de Bases de Datos – Febrero 2018

Más información

¿Necesita la ayuda de nuestro equipo de soporte?

Nuestros expertos estarán encantados de responder a sus preguntas.

Información general:
[email protected]
Ventas:
[email protected]
Servicio al Cliente y Soporte Técnico:
support.datasunrise.com
Consultas sobre Asociaciones y Alianzas:
[email protected]