Adult Friend Finder and Penthouse hacked in largest personal data breach on record

Over 412m accounts from pornography sites and sex hookup service reportedly leaked as Friend Finder Networks suffers second hack in just over a year

Fuente: Adult Friend Finder and Penthouse hacked in largest personal data breach on record


Don’t break crypto, go easy on the algorithms—global Internet commission | Ars Technica UK

Crypto backdoors, the overuse of opaque algorithms, turning companies into law enforcement agencies, and online attacks on critical infrastructure have all been attacked by the Global Commission on Internet Governance in a new report published on Wednesday.

Fuente: Don’t break crypto, go easy on the algorithms—global Internet commission | Ars Technica UK


Malicious attacks account for bulk of data loss – FT.com

Malware and hacking have overtaken employee error as the leading cause of data loss at companies, according to research from Beazley, the insurer. Malicious attacks accounted for a third of data breaches last year, up from 18 per cent in 2014.

Fuente: Malicious attacks account for bulk of data loss – FT.com


Apple Macs targeted by KeRanger ransomware for first time | Technology | The Guardian

Apple customers were targeted by hackers over the weekend in the first campaign against Macintosh computers using a pernicious type of software known as ransomware, researchers with Palo Alto Networks have revealed.Ransomware, one of the fastest-growing types of cyber threats, encrypts data on infected machines, then typically asks users to pay ransoms in hard-to-trace digital currencies to get an electronic key so they can retrieve their data.

Fuente: Apple Macs targeted by KeRanger ransomware for first time | Technology | The Guardian


Mozilla confirms leak of 76,000 developer email addresses | Technology | theguardian.com

Mozilla confirms leak of 76,000 developer email addresses | Technology | theguardian.com.

The not-for-profit foundation behind the Firefox browser has admitted a serious data leak, exposing developers’ contacts and encrypted passwords

Mozilla Love.
Mozilla’s developer community has been alerted about an accidental leak of email addresses and encrypted passwords. Photograph: Othree/flickr CC-BY

Members of Mozilla’s developer community have been alerted about an accidental leak of email addresses and encrypted passwords, after the failure of a “data sanitisation” process the organisation was carrying out.

Mozilla, which is most famous for its Firefox web browser, co-ordinates the development of a number of open-source software projects through the Mozilla Developer Network.

“Starting on about 23 June, for a period of 30 days,” the organisation warned developers, “a data sanitisation process … had been failing, resulting in the accidental disclosure of MDN email addresses of about 76,000 users and encrypted passwords of about 4,000 users on a publicly accessible server.”

The passwords were stored as salted hashes, an encryption process which renders it computationally impossible to retrieve the original password in a readable format, and Mozilla says that, by themselves, they “cannot be used to authenticate with the MDN website today”.

But it adds that “it is possible that some MDN users could have reused their original MDN passwords on other non-Mozilla websites or authentication systems”.

Stormy Peters, the company’s director of developer relations, says that “as soon as we learned of [the leak], the database dump file was removed from the server immediately, and the process that generates the dump was disabled to prevent further disclosure.

“While we have not been able to detect malicious activity on that server, we cannot be sure there wasn’t any such access.”


Puertas traseras que recuerdan a la NSA en 600 millones de dispositivos iOS

Puertas traseras que recuerdan a la NSA en 600 millones de dispositivos iOS.

Ciertos servicios de iOS, sobre todo en la versión 7 del sistema, permitirían el establecimiento de puertas traseras

A pesar de que hay una similitud con herramientas de la NSA, Apple defiende que estos servicios descubiertos en iOS solo obedecen a la necesidad de realizar tareas diagnósticas

600 millones de dispositivos iOS en riesgo

Jonathan Zdziarski, hacker experto en iPhone, conocido como NeverGas en la comunidad iOS, ha descubierto indicios de puertas traseras en los dispositivos iOS. El especialista en seguridad ha buceado en las capacidades disponibles en iOS para obtener datos y ha comprobado que unos 600 millones de dispositivos podrían estar en riesgo, sobre todo los que tienen instalada la versión iOS 7.

Zdziarski ha descubierto una serie de funciones no documentadas de iOS que permiten sortear el cifrado del backup en los dispositivos con el sistema operativo móvil de Apple, lo que permitiría robar datos personales de los usuarios sin introducir sus contraseñas, siempre que se den ciertas circunstancias. El atacante tendría que estar físicamente cerca del dispositivo en el que quiere penetrar, así como estar en la misma red WiFi que la víctima, quien para ello debería tener la conexión WiFi activada.

Las vulnerabilidades se han revelado en una conferencia de hackers en Nueva York y Zdziarski ha publicado las ha publicado en un PDF. El sistema iOS ofrece la posibilidad de proteger los mensajes, documentos, cuentas de email, contraseñas varias y otra información personal mediante el backup de iTunes, que se puede asegurar con un cifrado. Pero en lugar de introducir la contraseña para desbloquear todos estos datos, existe un servicio llamado com.apple.mobile.file_relay, cuyo acceso se puede lograr remotamente o a través de cable USB y permite sortear el cifrado del backup.

Así lo cuenta Zdziarski, quien señala que entre la información que se puede obtener de este modo se encuentra la agenda de contactos, las fotografías, los archivos de audio o los datos del GPS. Además, todas las credenciales de cuentas que se hayan configurado en el dispositivo, como los emails, las redes sociales o iCloud, quedan reveladas. El hacker ha señalado que con esta y otras herramientas se puede recopilar casi la misma información que hay en un backup completo.

También se han descubierto otros dos servicios potencialmente peligrosos, destinados en principio a usos por parte de los usuarios y desarrolladores, pero que pueden convertirse en armas de espionaje. Uno de ellos es com.apple.pcapd, que permitiría a un atacante monitorizar remotamente el tráfico que entra y sale de un dispositivo conectado a una red WiFi. El otro es com.apple.mobile.house_arrest, a través del cual iTunes puede copiar archivos y documentos sensibles procedentes de aplicaciones de terceros como Twitter o Facebook.

Puertas traseras que recuerdan a la NSA

Algunos de estos descubrimientos se parecen a las herramientas de la NSA, en concreto a DROPOUTJEEP, que en los dispositivos iOS permite a la agencia de espionaje estadounidense controlar y monitorizar remotamente todas las funciones de un iPhone. Zdziarski ha admitido que empezó a investigar a raíz de un informe de Der Spiegel sobre cómo la NSA había tomado como objetivo los dispositivos iOS y los sistemas a los que estaban asociados.

Por su parte Apple se ha apresurado a decir que estas puertas traseras no tienen relación alguna con ninguna agencia gubernamental. La compañía ha indicado que solo están orientadas a labores “diagnósticas” y a permitir a los departamentos de IT de las empresas gestionar los terminales de los empleados.

 “No me creo ni por un minuto que estos servicios estén pensados solo para diagnosticar. La información que filtran es de una naturaleza extremadamente personal. No hay notificación al usuario”, ha rebatido en su blog el hacker que descubrió las vulnerabilidades.