Lo + Nuevo
Tag

noticias

Browsing


Un fallo de seguridad de Microsoft provoca que cientos de bases de datos de los clientes estén expuestos. La empresa de seguridad Wiz quien descubrió que podía acceder a las claves que controlan el acceso a las bases de datos de miles de empresas.

ChaosDB, un fallo crítico de Cosmos DB afectó a miles de clientes de Microsoft Azure

Microsoft ha corregido un falla crítico en Cosmos DB que permitía a cualquier usuario de Azure hacerse cargo de forma remota de las bases de datos de otros usuarios sin ninguna autorización.

Investigadores de la empresa de seguridad en la nube Wiz revelaron detalles técnicos de una vulnerabilidad de la base de datos de Azure Cosmos ahora corregida, denominada ChaosDB, que podría haber sido potencialmente explotada por los atacantes para obtener acceso de administrador completo a las instancias de la base de datos de otros clientes sin ninguna autorización.

“#ChaosDB es una vulnerabilidad crítica sin precedentes en la plataforma en la nube de Azure que permite la toma de control de cuenta remota de la base de datos insignia de Azure: Cosmos DB. La vulnerabilidad, que fue revelada a Microsoft en agosto de 2021 por el equipo de investigación de Wiz, otorga a cualquier usuario de Azure acceso de administrador completo (lectura, escritura, eliminación) a las instancias de Cosmos DB de otros clientes sin autorización “. lee el post publicado por la firma de seguridad,

Azure Cosmos Darabase es el servicio de base de datos multimodelo distribuido globalmente de Microsoft.

Los expertos de Wiz descubrieron la vulnerabilidad el 9 de agosto y la informaron a Microsoft el día 12. El 14 de agosto de 2021, el equipo de investigación de Wiz observó que la falla se solucionó y el 16 de agosto MSRC reconoció la falla.

El mismo día, las credenciales obtenidas por el equipo de investigación de Wiz fueron revocadas y el 17 de agosto, MSRC otorgó una recompensa de $ 40,000 por el informe. Microsoft reveló públicamente la falla el 26 de agosto de 2021.

“Microsoft se ha dado cuenta recientemente de una vulnerabilidad en Azure Cosmos DB que podría permitir que un usuario obtenga acceso a los recursos de otro cliente mediante el uso de la clave principal de lectura y escritura de la cuenta. Esta vulnerabilidad nos la informó confidencialmente un investigador de seguridad externo. Una vez que nos dimos cuenta de este problema el 12 de agosto de 2021, mitigamos la vulnerabilidad de inmediato “. lee la declaración compartida por Microsoft con sus clientes. “No tenemos ninguna indicación de que entidades externas fuera del investigador tuvieran acceso a la clave principal de lectura y escritura asociada con su (s) cuenta (s) de Azure Cosmos DB. Además, no tenemos conocimiento de ningún acceso a datos debido a esta vulnerabilidad. Las cuentas de Azure Cosmos DB con vNET o firewall habilitado están protegidas por mecanismos de seguridad adicionales que evitan el riesgo de acceso no autorizado “.

Los expertos de Wiz identificaron un exploit que aprovecha una cadena de vulnerabilidades en la función Jupyter Notebook de Cosmos DB que permite a un atacante obtener las credenciales correspondientes a la cuenta de Cosmos DB de destino, incluida la clave principal. Estas credenciales permiten a los usuarios ver, modificar y eliminar datos en la cuenta de Cosmos DB de destino a través de múltiples canales.

Microsoft alerta a sus clientes de grave vulnerabilidad en BD Cosmos utilizada en los servicios cloud de Azure

La compañía Microsoft alerta a miles de clientes de su nube que atacantes podrían tener la posibilidad de acceder a las cuentas, e incluso leer y modificar el contenido de las bases de datos. Entre estos datos se encuentran algunas de las empresas más grandes del mundo. 

La empresa que ha descubierto el fallo pudo acceder a sus bases de datos y en su descubrimiento tenían la capacidad no solo de ver el contenido, sino también de cambiar y eliminar información de su base de datos Cosmos de Microsoft Azure.

Para llegar a la base de datos Cosmos, primero la firma de seguridad obtuvo acceso a las claves primarias de la base de datos de los clientes. Las claves primarias son “el santo grial para los atacantes” ya que son de larga duración y permiten un acceso completo de lectura, escritora y eliminación de los datos. Hay que recordar que en 2019, Microsoft añadió una función llamada Jupyter Notebook a Cosmos DB que permite a los clientes visualizar sus datos y crear vistas personalizadas y así fue como se llegó al objetivo. La función se activó automáticamente para todas las bases de datos de Cosmos en febrero de 2021.

Wiz recuerda que algunas de las empresas que utilizan esta base de datos Cosmos son gigantes como Coca-Cola, Exxon-Mobil y Citrix, como se puede ver en la propia web oficial de este servicio. 

Microsoft no puede cambiar esas claves por sí mismo, el jueves envió un correo electrónico a los clientes diciéndoles que crearan otras nuevas. Microsoft ha acordado pagar a Wiz 40.000 dólares por encontrar el fallo y denunciarlo, según un correo electrónico que envió a Wiz. Eso sí, los portavoces de Microsoft no han comentado nada más sobre este problema de seguridad.

Para mitigar la falla, las organizaciones deben regenerar su clave principal de la base de datos de Cosmos siguiendo la guía proporcionada por Microsoft. Los expertos también recomiendan revisar toda la actividad pasada en su cuenta de Cosmos DB. 

En un mail que la firma de Redmond remitió a Wiz lo que dicen desde la empresa es que Microsoft había corregido la vulnerabilidad y que no había pruebas de que el fallo hubiera sido explotado. “No tenemos indicios de que entidades externas al investigador (Wiz) hayan tenido acceso a la clave principal de lectura y escritura”, dice el correo.

“Esta es la peor vulnerabilidad en la nube que se pueda imaginar”, dijo Luttwak a Reuters. “Esta es la base de datos central de Azure, y en nuestra investigación pudimos acceder a cualquier base de datos de todos los clientes que quisiéramos“. El equipo de Luttwak encontró el problema, bautizado como ChaosDB, el 9 de agosto y lo notificó a Microsoft el 12 de agosto, dijo Luttwak, aunque no se ha conocido hasta hace unas horas. 


Fuente (s ) :

Escucha la noticia dando click en el audio 🙂

La historia de Facebook con las criptomonedas parece estar llegando a buen puerto. Desde que anunciaron Libra (ahora Diem) junto a un consorcio de empresas tecnológicas, han estado desarrollando también su propio monedero. Novi, el monedero, dicen que ahora ya está listo, pero probablemente no lo van a lanzar hasta que Diem salga al mercado también.

David Marcus, responsable del departamento Facebook Financial en la compañía, concedió recientemente una entrevista a Bloomberg. En ella explica que el monedero digital Novi de Facebook está listo para ser lanzado al mercado. Sin embargo, no quieren lanzarla hasta que Diem (la criptomoneda que quieren usar) también esté lista.

Diem ha pasado por muchos (realmente muchos) problemas para salir a la luz. Se espera que lo haga en algún momento de este año o principios del próximo. Lo hará como una stablecoin, por lo que su valor será el mismo que la moneda fiduciaria de cada país donde opere.

Diem ahora opera de forma independiente de Facebook, aunque la red social se ha mantenido como uno de los socios principales desde el principio. Facebook por lo tanto no influye en cuándo y cómo se va a lanzar Diem. Eso sí, dicen que “como último recursos” se plantean lanzar su monedero Novi sin Diem.

NFTs también en Facebook

El término de moda en el mundo de las crypto es “NFT”. Los activos digitales no transferibles han irrumpido en 2021 más fuerte que nunca, y Facebook quiere aprovechar la ola también. Según David Marcus, en Facebook están mirando “formas de involucrarnos en el espacio porque creemos que estamos en una posición realmente buena para hacerlo”.

Los activos digitales NFT a fin de cuentas son direcciones crypto como lo son las criptomonedas, por lo tanto, donde más sentido tiene almacenarlas es en un monedero crytpo. “Cuando tienes un buen monedero cripto, como Novi, también tienes que pensar en cómo ayudar a los consumidores que usan los NFT”, explicó David Marcus. De momento sin embargo no han dado más detalles a raíz de ello.

Fuente (s) :

Créditos Música :

Goodbye Ocean by | e s c p | https://escp-music.bandcamp.com
Music promoted by https://www.free-stock-music.com
Attribution 4.0 International (CC BY 4.0)
https://creativecommons.org/licenses/by/4.0/

Obtetn 6 meses de Amazon Music al comprar un Echo
Obtén 6 meses de Amazon Music al comprar un Echo

Escucha la noticia dando click en el audio 🙂

“Hemos conseguido las garantías necesarias para apoyar a nuestra diversa comunidad de creadores”, señaló la plataforma.

OnlyFans, una plataforma de suscripción en línea conocida por sus contenidos para adultos, dijo el miércoles que suspenderá su nueva política que habría prohibido a los usuarios publicar cualquier material que contenga una “conducta sexualmente explícita”.

“Hemos conseguido las garantías necesarias para apoyar a nuestra diversa comunidad de creadores y hemos suspendido el cambio de política previsto para el 1 de octubre“, tuiteó OnlyFans el miércoles.

OnlyFans es sinónimo de inclusión y continuaremos brindando un hogar a todos los creadores”.

A principios de la semana, la empresa con sede en Londres dijo que la política de prohibición cumplía con las peticiones de sus socios bancarios y proveedores de pago.

La plataforma, que se fundó en 2016 y que ha experimentado un auge de popularidad durante la pandemia del Covid-19, dice que tiene 130 millones de usuarios.

Cripto Casino - Stake
Conoce Stake Cripto Casino

Fuente(s) :

BingX exchange confiable de Criptomonedas

Créditos Música :

Lazy Aftermoon by | e s c p | https://escp-music.bandcamp.com
Music promoted by https://www.free-stock-music.com
Attribution 4.0 International (CC BY 4.0)
https://creativecommons.org/licenses/by/4.0/

Escucha la noticia dando click en el audio 🙂

Tal y como describe el Boletín Oficial del Estado, el gobierno de España ha comprado 15 dispositivos analizadores Cellebrite UFED Touch 2. Estos dispositivos permiten extraer información de algunos modelos de iPhone. Una herramienta que ahora pasará a formar parte del stock de la Comisaría General de Extranjería y Fronteras de la Policía (CGEF). Recordemos que Cellebrite fue la empresa que logró desbloquear el iPhone de la desaparecida Diana Quer en 2017.

Cellebrite  es una compañía de Israel se dedica a fabricar y vender dispositivos capaces (según afirman oficialmente) de “extraer” datos de los dispositivos móviles que se conecten a ellos con una “solidez forense”. El gasto total ha sido de 151.000 euros, algo más de 10.000 euros por dispositivo.

Los clientes habituales de Cellebrite suelen ser gobiernos y agencias de inteligencia, aunque hace poco que han empezado a vender dispositivos a colegios

Cellebrite vs iPhone  

Cellebrite es una empresa israelí especializada en vender herramientas para acceder a la información de dispositivos electrónicos. La idea detrás de estos costosos artilugios, de más de 10.000 euros por dispositivo, es poder extraer información de los móviles, aunque estos estén bloqueados.


Las especificaciones exactas de a qué información es posible acceder y en qué modelos de dispositivo no queda del todo clara ni siquiera en el sitio web del fabricante. En Cellebrite afirman que los UFED Touch 2 que ha comprado el gobierno permiten acceder a la información del 85% de los iPhone actualmente en el mercado, mientras que los más recientes iPhone 12 no se mencionan entre los posibles blancos de su tecnología.


Los responsables de Telegram habían tenido la oportunidad de examinar de cerca una de las herramientas de Cellebrite. Como resultado de la pobre seguridad de estos dispositivos, Telegram pudo idear un sistema para hacer que todos los datos ya recogidos o aún por recoger en uno de esos dispositivos se modificaran aleatoriamente sin poder siquiera saber si habían sido modificados. Ante esta situación Cellebrite tuvo que anunciar que dejaría de ofrecer la extracción de información de los iPhone hasta que pudieran garantizar su fiabilidad.

Cables, discos y SO personalizado: todo lo necesario para extraer datos de móviles

Cellebrite empezó a circular por los medios y redes cuando ayudó al FBI a intentar obtener información del iPhone de un terrorista, concretamente el responsable del tiroteo de San Bernardino en diciembre de 2015. Ya en ese entonces la compañía afirmaba que podía extraer datos forenses de un iPhone, aunque el entonces nuevo iPhone 5s quedaba fuera de sus posibilidades por incluir un chip adicional en el que aún no habían podido encontrar un modo de entrada.

El terminal se dedicaba a intentar multitud de códigos de desbloqueo, restaurando el dispositivo mediante copias de seguridad a la mínima que algún bloqueo de seguridad estuviera a punto de activarse. Con los años estas funciones se han ido perfeccionando:

El modelo UFED Touch2, el que ha sido adquirido por el gobierno español, cuenta con conexiones USB 3.1 y transferencias de 5Gbps además de una unidad SSD que ayuda a que el análisis de los datos sea más eficiente. También incluye una versión especial de Windows 10, Wi-Fi 5, lector de tarjetas multi-SIM y una batería por si hay que hacer las extracciones de datos en exteriores. Puede incluso clasificar todos esos datos según sean contactos, mensajes, correos o fotografías, entre otros formatos.

Su principal handicap es que con la seguridad integrada de los smartphone actuales, dispositivos como el UFED Touch 2 no pueden extraer información de la mayoría de dispositivos a menos que estén desbloqueados

Fuente(s) :

Créditos Música :

The Ruins Of Atlantis by WombatNoisesAudio | https://soundcloud.com/user-734462061
Music promoted by https://www.free-stock-music.com
Creative Commons Attribution 3.0 Unported License
https://creativecommons.org/licenses/by/3.0/deed.en_US

Escucha la noticia dando click en el audio 🙂

La Guardia Civil ha detenido a una organización criminal asentada en la provincia de A Coruña, vinculada con una organización internacional dedicada a las estafas bancarias. Utilizaban la metodología conocida como ‘SIM Swapping’ para retirar dinero de las cuentas de sus víctimas.

  • La Guardia Civil ha detenido a 8 personas, todos vecinos de distintas localidades de la provincia de A Coruña
  • Los estafadores duplicaban las tarjetas SIM de los teléfonos de las víctimas y se hacían con las claves de la banca online
  • Luego hacían trasferencias de dinero y, además, solicitaban préstamos a la entidad bancaria para obtener un mayor beneficio

Las investigaciones se iniciaron en febrero del año pasado, después de detectar una serie de estafas que comenzaban con el duplicado de las tarjetas SIM de los teléfonos de los perjudicados. El grupo criminal utilizaba el método ‘SIM Swapping’, que consiste en obtener las claves que utilizan las víctimas para acceder a la banca electrónica a través de métodos como el malware, pharming o phising.

Una vez obtenidas las contraseñas, duplicaban la tarjeta telefónica de la víctima para recibir los códigos de verificación de las transferencias que estas querían realizar, perdiendo de esta forma el control total de su línea telefónica y de sus cuentas bancarias.

A partir de ese momento, comenzaban a realizar transferencias fraudulentas desde la cuenta de la víctima a otras de terceras personas, de las que se servían para canalizar el dinero. En esta ocasión, además, solicitaban préstamos a la entidad bancaria con el fin de obtener un mayor beneficio económico.PUBLICIDAD

Un vecino de Camariñas, el jefe del grupo

Esta operación de la Guardia Civil, bautizada con el nombre de Albor, ha finalizado con la detención de 8 personas en las localidades coruñesas de A Coruña, Arteixo, Ferrol, Miño, Carballo, Camariñas y Malpica. La mayoría de ellos tenían antecedentes policiales por hechos similares.

Uno de los detenidos, natural de Camariñas, realizaba las funciones de jefe de grupo. Él era quien presuntamente captaba a las personas que realizaban los duplicados de las tarjetas SIM de las víctimas y a quienes ejercían la función de “mulero”, recibiendo el dinero defraudado en cuentas bancarias que luego hacían efectivo en cajeros automáticos o directamente en caja, para posteriormente remitirlo al contacto de la organización y cobrando una pequeña cantidad de dinero por ello.

Como consecuencia de las investigaciones, la Guardia Civil ha conseguido vincular a este grupo de delincuentes con otros de las provincias de Badajoz, Madrid, Málaga y Valencia. Todos dependían de una organización criminal internacional que tenía su sede en Brasil.

La Guardia Civil ha podido así esclarecer múltiples denuncias de estafa presentadas en Badajoz, Valladolid y Toledo por un valor de 49.500 euros. Todos los detenidos han sido puestos a disposición del Juzgado de Instrucción de guardia de A Coruña.

Referencia(s) :

Créditos Música :

Escucha la noticia dando click en el audio 🙂

La mina de criptomonedas contaba con más de 100 procesadores en funcionamiento y sofisticados equipos de refrigeración y extracción de humos y de calor

Agentes de la Policía Nacional han desmantelado en el municipio toledano de Yeles una “granja” de criptomonedas ubicada en un chalet. Ha sido identificada una mujer como presunta responsable de un delito de defraudación del fluido eléctrico ya que, para mantener la instalación, habría realizado una acometida eléctrica con un elevado consumo ilegal. En la mina, los agentes localizaron más de 100 procesadores y sofisticados equipos de refrigeración y extracción de humos.

Los agentes han identificado a una mujer como presunta autora de un delito de defraudación del fluido eléctrico, ya que se sirvió de una conexión ilegal para garantizar el mantenimiento de la instalación.

La investigación se inició al detectar un consumo eléctrico elevado y una emisión térmica desprendida por la vivienda superior a los que se correspondería con un domicilio familiar. En el registro del inmueble, los agentes encontraron una granja de criptomonedas.  

Delito de defraudación del fluido eléctrico

En este tipo de instalaciones, la rentabilidad está supeditada a uso precios de electricidad reducidos. Por este motivo, la investigada se servía de una conexión ilegal a la red de distribución de baja tensión mediante una acometida eléctrica trifásica con un elevado consumo ilegal. La mina contaba con 111 procesadores y sofisticados sistemas de climatización para evitar que aumentara la temperatura. 

Puesto que, en ocasiones, estas monedas se emplean como medio de pago habitual en actividades ilícitas vinculadas a delitos tecnológicos y el blanqueo de capitales, la investigación continúa abierta para el total esclarecimiento de los hechos.

Referencia(s) :

Escucha la noticia dando click en el audio 🙂

Según la compañía con sede en Londres, el cambio busca “garantizar la sostenibilidad a largo plazo de la plataforma”.

OnlyFans, compañía que ha acumulado aproximadamente más de 130 millones de usuarios en gran parte para páginas de fans de suscripción orientadas a adultos, anunció que prohibirá el contenido sexualmente explícito este otoño.

OnlyFans ha construido en gran medida su negocio y su marca de miles de millones de dólares en trabajadoras sexuales que brindan exactamente el tipo de contenido que está prohibido. Ahora esos creadores de contenido tienen hasta el 1 de diciembre para borrar cualquier rastro del contenido repentinamente inaceptable de sus perfiles.

La compañía con sede en el Reino Unido dijo que está realizando los cambios “para cumplir con las solicitudes de nuestros socios bancarios y proveedores de pagos”, en un comunicado proporcionado a Variety.

La comparación de la nueva Política de uso aceptable de OnlyFans con la anterior deja en claro las adiciones:

No cargue, publique, muestre ni publique contenido en OnlyFans que:

  • Muestra, promueve, publicita o hace referencia a “conducta sexualmente explícita”, lo que significa:
  • relaciones sexuales reales o simuladas, incluidas genital-genital, oral-genital, anal-genital u oral-anal, entre personas de cualquier sexo;
  • masturbación real o simulada;
  • cualquier exhibición del ano o genitales de cualquier persona que sea extrema u ofensiva;
  • material real o simulado que represente fluidos corporales comúnmente secretados durante la conducta sexual;
  • Todo el Contenido existente que muestre, promueva, anuncie o se refiera a una “conducta sexualmente explícita” (que tiene el significado que se le da en la sección 5 (b) de esta Política) debe eliminarse antes del 1 de diciembre de 2021 o en cualquier otra fecha que comunicamos a los Usuarios.
  • Otras secciones de la política que prohíben deepfakes, drogas o violencia, permanecen sin cambios. En un correo electrónico a los creadores de OnlyFans, el sitio especificó que “El contenido que contenga desnudos seguirá estando permitido siempre que sea coherente con la política”. Las publicaciones pueden mostrar partes del cuerpo, pero hacer algo explícito (o acercarse demasiado) significa que estarán en violación. Cualquier incumplimiento “puede dar lugar a la suspensión o cancelación de su cuenta, y la revocación del acceso a sus ganancias”.

Referencia(s) :

Créditos Musica:

Lost Treasure by Purrple Cat | https://purrplecat.com
Music promoted by https://www.free-stock-music.com
Creative Commons Attribution-ShareAlike 3.0 Unported
https://creativecommons.org/licenses/by-sa/3.0/deed.en_US