Tutoriales y Manuales
Entradas Mensuales
-
►
2024
(Total:
1090
)
- ► septiembre (Total: 50 )
-
►
2023
(Total:
710
)
- ► septiembre (Total: 65 )
-
►
2022
(Total:
967
)
- ► septiembre (Total: 72 )
-
►
2021
(Total:
730
)
- ► septiembre (Total: 56 )
-
►
2020
(Total:
212
)
- ► septiembre (Total: 21 )
-
►
2019
(Total:
102
)
- ► septiembre (Total: 14 )
-
▼
2018
(Total:
150
)
-
▼
agosto
(Total:
13
)
- Joven de 16 años logró hackear 90GB datos de Apple
- Descubren backdoor que activa Modo Dios en antiguo...
- FakesApp permite manipular mensajes enviados por W...
- Alertan nueva nueva campaña de phishing haciéndos...
- Acusado de robar más de 5 millones de dólares en B...
- Ejecución remota en múltiples impresoras HP
- Expuestos datos médicos de 2 millones de Méxicanos
- Nuevo método de ataque en redes Wifi WPA/WPA2 PSK ...
- Alertan de los peligros de utilizar un puerto USB ...
- 200 mil routers MikroTik infectados para minar Cri...
- 11 millones de usuarios espiados gracias a estas A...
- Incidente de seguridad en Reddit por utilizar 2FA ...
- Autor ransomware SamSam ha ganado casi 6 millones ...
-
▼
agosto
(Total:
13
)
-
►
2017
(Total:
231
)
- ► septiembre (Total: 16 )
-
►
2016
(Total:
266
)
- ► septiembre (Total: 38 )
-
►
2015
(Total:
445
)
- ► septiembre (Total: 47 )
-
►
2014
(Total:
185
)
- ► septiembre (Total: 18 )
-
►
2013
(Total:
100
)
- ► septiembre (Total: 3 )
-
►
2011
(Total:
7
)
- ► septiembre (Total: 1 )
Blogroll
Etiquetas
seguridad
(
396
)
privacidad
(
364
)
google
(
355
)
ransomware
(
341
)
vulnerabilidad
(
305
)
Malware
(
265
)
Windows
(
246
)
android
(
244
)
cve
(
237
)
tutorial
(
237
)
manual
(
222
)
software
(
206
)
hardware
(
196
)
linux
(
127
)
twitter
(
117
)
ddos
(
95
)
WhatsApp
(
92
)
Wifi
(
85
)
cifrado
(
77
)
herramientas
(
75
)
hacking
(
73
)
sysadmin
(
68
)
app
(
65
)
Networking
(
57
)
nvidia
(
53
)
ssd
(
51
)
youtube
(
50
)
firmware
(
44
)
adobe
(
43
)
office
(
41
)
hack
(
40
)
firefox
(
36
)
contraseñas
(
32
)
eventos
(
32
)
antivirus
(
31
)
juegos
(
31
)
cms
(
30
)
flash
(
28
)
anonymous
(
27
)
apache
(
26
)
MAC
(
25
)
programación
(
25
)
exploit
(
23
)
multimedia
(
23
)
javascript
(
22
)
Kernel
(
20
)
ssl
(
19
)
SeguridadWireless
(
17
)
documental
(
16
)
Forense
(
15
)
conferencia
(
15
)
Debugger
(
14
)
lizard squad
(
14
)
técnicas hacking
(
13
)
auditoría
(
12
)
delitos
(
11
)
metasploit
(
11
)
Virtualización
(
10
)
adamo
(
9
)
reversing
(
9
)
Rootkit
(
8
)
Ehn-Dev
(
7
)
MAC Adress
(
6
)
antimalware
(
6
)
oclHashcat
(
5
)
Entradas populares
-
Después de ver qué es una vCPU y la diferencia entre núcleos (cores) e hilos en los procesadores, pasamos a explicar toda la nomenclatura d...
-
iperf3 es la última versión del popular programa iperf para medir el ancho de banda entre dos o más equipos en red local o Internet . Es...
-
A finales del mes de agosto hablábamos de que los legisladores estadounidense habían solicitado la investigación de TP-Link . Y así, ya ten...
Incidente de seguridad en Reddit por utilizar 2FA con SMS
viernes, 3 de agosto de 2018
|
Publicado por
el-brujo
|
Editar entrada
La red social Reddit, el popular sitio de agregación de noticias y marcadores sociales, reconoció ayer en un comunicado oficial haber padecido un incidente de seguridad con uno de sus empleados. Según la propia plataforma, "entre el 14 y el 18 de junio, un atacante comprometió algunas cuentas de los empleados vinculadas a los proveedores de almacenamiento de código y cloud". Los datos sensibles robados,serían emails enviados desde el servicio en
junio de 2018, una copia de seguridad de una base de datos de 2007 con
contraseñas viejas cifradas y con salt.
Reddit había tomado hace tiempo ciertas medidas para evitar en lo máximo posible los accesos por parte de personas ajenas a las cuentas de sus empleados, utilizando para ello la autenticación en dos pasos. Sin embargo, dicho proceso de acceso se apoyaba en SMS, una tecnología cuya seguridad está puesta en duda desde hace años.
Aunque este fue un ataque serio, el atacante no obtuvo acceso de escritura a los sistemas de Reddit; obtuvieron acceso de solo lectura a algunos sistemas que contenían datos de respaldo, código fuente y otros registros. No pudieron alterar la información de Reddit
Además, han sido extraídas listas de correos electrónicos de usuarios actuales, procedentes del sistemas de envío de resúmenes de noticias. Estas sí serían actuales, en concreto de todos los usuarios que tuvieran marcada dicha opción durante el día 3 y el 17 de junio. Repetimos: un listado de direcciones de correos electrónicos, nada de credenciales, en principio.
La filtración de datos de usuario, que no es precisamente un botín rebosante, solo es una pizca de lo acontecido; aunque sí es lo que determina las posibles sanciones administrativas.
El código fuente del Reddit actual, privativo, podría estar durmiendo en el disco duro del atacante
Aunque el código fuente de Reddit siempre ha sido publicado con una licencia de fuente abierta, la compañía cerró el código fuente de la aplicación principal (aunque sigue publicando proyectos laterales y herramientas). Según el artículo publicado por el responsable de Reddit, el atacante habría tenido acceso a este código, recordemos, una versión muy distinta a la última versión libre publicada; ya que el sitio recibió un completo lavado de cara a inicios de este mismo año.
El mismo responsable del comunicado,el director de tecnología de Reddit, Christopher Slowe, comenta que contrataron hace dos meses y medio a un jefe de seguridad. Lo que no deja de llamar la atención, que una compañía con un gran público en Internet, no lo tuviera ya desde hace años.
Al parecer el atacante habría utilizado algún tipo de ataque de interceptación para hacerse con los SMS y acceder a la cuenta de un empleado con el fin de robar datos sensibles importantes, entre los que se encontrarían algunos datos de usuario como los emails enviados desde el servicio en junio de 2018 y una copia de seguridad de una base de datos de 2007 con contraseñas viejas cifradas y con salt.
Reddit está enviando un mensaje a los usuarios afectados y restableciendo las contraseñas en las cuentas donde las credenciales aún podrían ser válidas.
Ya se han tomado medidas adicionales para reforzar el acceso privilegiado a Reddit, como el cambiar los SMS por una autenticación en dos pasos basada en tokens, algo que desde la plataforma se recomienda hacer a todos sus usuarios.
El 19 de junio, nos enteramos de que entre el 14 de junio y el 18 de junio, un atacante comprometió algunas de las cuentas de nuestros empleados con nuestros proveedores de alojamiento de códigos fuente y en la nube. Ya tenemos nuestros principales puntos de acceso para el código y la infraestructura detrás de una autenticación fuerte que requiere autenticación de dos factores (2FA), descubrimos que la autenticación basada en SMS no es tan segura como esperaríamos, y el ataque principal fue a través de la interceptación de SMS. Señalamos esto para alentar a todos los presentes a pasar a 2FA basado en tokens.
Reddit había tomado hace tiempo ciertas medidas para evitar en lo máximo posible los accesos por parte de personas ajenas a las cuentas de sus empleados, utilizando para ello la autenticación en dos pasos. Sin embargo, dicho proceso de acceso se apoyaba en SMS, una tecnología cuya seguridad está puesta en duda desde hace años.
Aunque este fue un ataque serio, el atacante no obtuvo acceso de escritura a los sistemas de Reddit; obtuvieron acceso de solo lectura a algunos sistemas que contenían datos de respaldo, código fuente y otros registros. No pudieron alterar la información de Reddit
Además, han sido extraídas listas de correos electrónicos de usuarios actuales, procedentes del sistemas de envío de resúmenes de noticias. Estas sí serían actuales, en concreto de todos los usuarios que tuvieran marcada dicha opción durante el día 3 y el 17 de junio. Repetimos: un listado de direcciones de correos electrónicos, nada de credenciales, en principio.
La filtración de datos de usuario, que no es precisamente un botín rebosante, solo es una pizca de lo acontecido; aunque sí es lo que determina las posibles sanciones administrativas.
El código fuente del Reddit actual, privativo, podría estar durmiendo en el disco duro del atacante
Aunque el código fuente de Reddit siempre ha sido publicado con una licencia de fuente abierta, la compañía cerró el código fuente de la aplicación principal (aunque sigue publicando proyectos laterales y herramientas). Según el artículo publicado por el responsable de Reddit, el atacante habría tenido acceso a este código, recordemos, una versión muy distinta a la última versión libre publicada; ya que el sitio recibió un completo lavado de cara a inicios de este mismo año.
El mismo responsable del comunicado,el director de tecnología de Reddit, Christopher Slowe, comenta que contrataron hace dos meses y medio a un jefe de seguridad. Lo que no deja de llamar la atención, que una compañía con un gran público en Internet, no lo tuviera ya desde hace años.
Autenticación 2 Factores con SMS no es segura
Al parecer el atacante habría utilizado algún tipo de ataque de interceptación para hacerse con los SMS y acceder a la cuenta de un empleado con el fin de robar datos sensibles importantes, entre los que se encontrarían algunos datos de usuario como los emails enviados desde el servicio en junio de 2018 y una copia de seguridad de una base de datos de 2007 con contraseñas viejas cifradas y con salt.
Reddit está enviando un mensaje a los usuarios afectados y restableciendo las contraseñas en las cuentas donde las credenciales aún podrían ser válidas.
Ya se han tomado medidas adicionales para reforzar el acceso privilegiado a Reddit, como el cambiar los SMS por una autenticación en dos pasos basada en tokens, algo que desde la plataforma se recomienda hacer a todos sus usuarios.
Enviar por correo electrónico
Escribe un blog
Compartir en X
Compartir con Facebook
Compartir en Pinterest
0 comentarios :
Publicar un comentario
Los comentarios pueden ser revisados en cualquier momento por los moderadores.
Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.
Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.