• Registrarse
  • Iniciar sesión


  • Página 2 de 2 PrimeroPrimero 12
    Resultados 11 al 19 de 19

    eBay ha sufrido un ciberataque: Cambia ahora mismo tu contraseña

    Ebay dice que las ventas de la base de datos hackeadas son falsas Los ciberdelincuentes están ofreciendo vender "copias robadas" de la base de datos de eBay; se filtró el anuncio a través de un ...

          
    1. #11
      Warrior Avatar de @JoseAsuncion
      Registrado
      sep 2012
      Ubicación
      Lima
      Mensajes
      11.597

      Ebay dice que las ventas de la base de datos hackeadas son falsas

      Ebay dice que las ventas de la base de datos hackeadas son falsas



      Los ciberdelincuentes están ofreciendo vender "copias robadas" de la base de datos de eBay; se filtró el anuncio a través de un mensaje publicado en Pastebin.

      Sin embargo eBay dice que la venta es falsa. "Hemos comprobado hasta ahora que todos los datos que se publicaron ninguna son cuentas auténticas de eBay", dijo la oficina de prensa de eBay.

      Los expertos en seguridad, aunque lejos de aceptarlo, parecen estar de acuerdo.

      El vendedor llamado “The dodgy” está ofreciendo vender el "volcado completo de la base de datos" de eBay con 145 millones de registros de una base no exclusiva por 1.453 BTC (o 750 dólares).

      Una muestra ofrecida pretende contener los datos comprometidos de más de 12.000 usuarios de la región APAC (Asia-Pacifico) subido a través de Mega. La validez de los datos en venta está aún por verificarse.

      La muestra subida a Mega contiene nombre, dirección, correo electrónico y dirección postal. Las contraseñas son hash aún no reveladas.

      El experto en seguridad Kenn White informó encontrar varias direcciones de correo electrónico que han sido filtradas. Otros expertos en seguridad aún son muy cuidadosos de verificar la información.

      "Aún no se ha comprobado que son credenciales legitimas de eBay, y es posible que el criminal sólo haya visto una oportunidad para ganar dinero con el ataque, con algunos datos de otro volcado de credenciales que tienen disponibles,", dijo Trey Ford, estratega de seguridad global de Rapid7.

      "Dicho esto, durante el análisis inicial de los 12.663 registros que se han proporcionado como una muestra gratis, hemos sido capaces de encontrar algunas coincidencias entre los prefijos del correo electrónico y el nombre de perfil en eBay, donde la gente está utilizando el mismo identificador."

      "Esto no significa necesariamente que estas credenciales se han obtenido del ataque a eBay – podría ser que la gente usa el mismo identificador en varios sitios, incluyendo uno que previamente ha sido comprometido, y las credenciales son en realidad obtenidas de ellas. De hecho, también encontramos similitudes entre estas direcciones de correo electrónico y de un foro web muy popular malasio, que puede ser la verdadera fuente de estas credenciales. "No tenemos la manera de confirmar estadística mente cómo representa la muestra APAC de la que se filtró de la base de datos de eBay, añadió.

      Si es genuina las filtraciones y estás fueron cifradas usando un algoritmo fuerte se debió hacer varios intentos para encontrar los hashes correspondiente con las contraseñas más sencillas o se hizo algo similar o no es más que un invento, por lo que es muy sospechoso.

      Las credenciales establecidas están utilizando el método PBKDF2 (Password-Based Key Derivación de funciones 2) SHA-256 hashes. "Esto significa que emplean una función de hash fuerte y también hacen que intencionalmente el craqueo sea más difícil y lento de realizar en cada registro haciendo el uso de un alto número de iteraciones para obtener el hash," explicó Ford.

      El Consultor de Seguridad Thorsheim también se muestra escéptico. "PBKDF2 con 12K iteraciones posibles lleva muuucho tiempo en corromper. No hay aún hashes vulnerados, 123.456 deberían haberse encontrado sobre 12K", dijo en una actualización en Twitter .



      Fuente: The register
      Woaxxx
      * Síguenos en nuestro Twitter y hazte nuestro amigo en Facebook.
      * Infórmate de las ultimas amenazas de la red desde: InfoSpyware Blog
      * No se resuelven dudas por Privados ni por E-mail, ya que para eso esta el foro.

    2. #12
      Warrior Avatar de @JoseAsuncion
      Registrado
      sep 2012
      Ubicación
      Lima
      Mensajes
      11.597

      Re: eBay ha sufrido un ciberataque: Cambia ahora mismo tu contraseña

      Un articulo que me pareció muy importante y que comparto con ustedes.

      Los usuarios de eBay aún en riesgo después del ciberataque, aunque cambien las contraseñas.



      Cuando eBay admitió el día miércoles que había sido víctima de un ciberataque, la empresa pidió a la totalidad de sus 145 millones de usuarios activos a cambiar sus contraseñas . Pero los intrusos tuvieron acceso a la base de datos de los clientes que también incluyó otra información personal, como: nombres, direcciones postales y fechas de nacimiento - datos que no se pueden cambiar tan fácilmente.

      La buena noticia es que eBay dice que ninguna información financiera o de crédito se ha visto comprometida. Los datos financieros fueron almacenados en sistemas separados, y eBay dice que no hay evidencia de que los datos de PayPal se han visto comprometidos. La mala noticia es que los datos que se han visto comprometidos siguen siendo importantes.

      Los representantes de EBay dijeron a Mashable que la compañía no tenía idea de cuántos de sus 145 millones de cuentas activas fueron vistas por los intrusos. Millones de cuentas inactivas también podrían verse afectadas.

      La compañía afirmó que el ataque ocurrió entre finales de febrero y marzo, y que las siguientes informaciones fueron accesible por los hackers:

      • Nombre del cliente
      • Contraseña cifrada
      • Dirección de correo electrónico
      • Dirección física
      • Número de teléfono
      • Fecha de nacimiento



      Eso es un montón de información importante. De hecho, como se demostró con el ataque contra el periodista de Wired Mat Honan, el ​​acceso a sólo un poco de información personal - como: el número de teléfono, correo electrónico y dirección física - unida a una buena ingeniería social conocida puede llevar a un gran daño.

      Muchas preguntas se hacen para restablecer la contraseña, como: el día o fecha de cumpleaños, número de teléfono y la dirección física. Por lo menos, la obtención de este tipo de datos sería hacer más fácil para los criminales de intentar eludir la configuración de seguridad de las cuentas. También podría utilizarse para ayudar a efectuar el robo de identidad.


      Como señala el investigador Ashkan Soltani, al menos ya una persona dice estar vendiendo la supuesta base de datos de los usuarios . La persona en cuestión quiere 1,453 BTC (unos 753 dólares) a cambio del acceso a una supuesta lista de 145312663 registros únicos. Pero parece ser una estafa, algo que ha afirmado eBay:




      Sin embargo, parece que lo más probable es que al menos no es parte de la información robada, la cual se abrirá camino a varios mercados clandestinos que se ocupan en el intercambio de datos personales.

      Sea consciente del correo electrónico y de las llamadas estafas

      El periodista en seguridad Brian Krebs dice que es muy probable que las direcciones de correo electrónico de esta lista recibirán más spam. Él afirma que el spam "probablemente incluira ataques de phishing dirigidos a robar datos de acceso y / o la propagación de malware."

      Krebs cree que este tipo de base de datos sería "una mina de oro para los artistas de la estafa por teléfono."

      Añade Krebs: "Armado con sólo fragmentos de información acerca de las personas, los estafadores con frecuencia pueden mejorar dramáticamente el éxito de los regímenes que tratan de engañar a la gente para que den más datos personales y financieros."

      No todos los datos fueron cifrados

      Para mí, lo más preocupante de este ataque fue que la única información que eBay cifra en su base de datos era la contraseña de usuario. Dependiendo del tipo de cifrado utilizado, la obtención de las contraseñas pueden ser muy difícil o muy fácil de obtener para un atacante. Sin embargo, al menos las contraseñas tenían alguna forma de cifrado.

      Es chocante que los nombres, números de teléfono, fechas de nacimiento, direcciones de correo electrónico y direcciones postales no sólo no estaban encriptados. Sino que se almacenaban en texto plano. Teniendo en cuenta, que estos datos no eran opcionales. Con el fin de inscribirse para una cuenta de eBay, el usuario debe proporcionar un nombre, dirección y número de teléfono. Si usted quiere vender algo en eBay, debe proporcionar una fecha de nacimiento que debe de ser de 18 años a más.

      Así que para esos 145 millones de cuentas activas de eBay, los usuarios no tenían otra opción de qué brindar su información a la empresa. Es chocante saber que eBay haya optado por no cifrar ese tipo de información sensible.

      ¿La convocatoria de las normas en seguridad de los datos?

      Los ciberataques están aumentando todo el tiempo. Casi cada semana, nos enteramos de otra violación de los datos o del pedido de restablecimiento de alguna contraseña. Pero las contraseñas y los datos de las tarjetas de crédito son sólo una parte del problema.

      Para los defensores de la privacidad, el hecho de que tantos servicios y empresas necesiten tener acceso a tanta información personal ya es desconcertante. Pero incluso si se pone a un lado las cuestiones de privacidad, ¿es hora de empezar a obligar a las empresas almacenar datos personales de forma segura?

      Ya existen normas de la industria en torno a cómo la información de pago puede ser almacenado y asegurada. Tal vez es hora de empezar a exigir que los servicios en línea para el tratamiento de nuestra información personal tengan relevancia similar.

      Un usuario puede cambiar su contraseña. La cual debe ser cambiada tan a menudo como sea posible, pero una contraseña si se puede cambiar. Una vez que los tesoros de información de identificación estén disponibles - especialmente cuando la información está vinculada a la identidad en línea - el usuario no tendrá control sobre ellas.

      Las tarjetas de crédito y los bancos ofrecen protección contra el fraude. Ese mismo tipo de protección no está disponible para el robo de identidad (y lo que está disponible es costosa en tiempo y dinero).

      Si las empresas multimillonarias quieren que renunciemos a nuestra información personal, ¿no deberíamos asegurarnos de que van a protegerla?

      Fuente: Mashable
      Woaxxx
      * Síguenos en nuestro Twitter y hazte nuestro amigo en Facebook.
      * Infórmate de las ultimas amenazas de la red desde: InfoSpyware Blog
      * No se resuelven dudas por Privados ni por E-mail, ya que para eso esta el foro.

    3. #13
      Ex-Colaborador Avatar de @Frank_JPS
      Registrado
      abr 2012
      Ubicación
      España
      Mensajes
      2.457

      Re: eBay ha sufrido un ciberataque: Cambia ahora mismo tu contraseña

      La transparencia de una empresa dice mucho... Yo creo que no dicen nada claro por miedo a perder unos cuantos de usuarios, ya que pocos se abran enterado de la noticia. Me he enterado yo antes que gente que conozco que han utilizado Ebay.

      Los que visiten la página y vean esto:


      No creo que se alarmen lo suficiente para cambiar de contraseña.... Pensaran que es una recomendación mas...

      (Hay que darle a "mas información" para leer esto: eBay)

      Dejo un enlace que me ha parecido interesante: passwordday.org/es/

      Saludos!
      Última edición por @Frank_JPS fecha: 22/05/14 a las 20:53:23 Razón: Gracias por mantenernos actualizados, Woaxxx.

    4. #14
      Usuario Avatar de moralesdaglo
      Registrado
      ene 2006
      Ubicación
      USA
      Mensajes
      305

      Re: eBay ha sufrido un ciberataque: Cambia ahora mismo tu contraseña

      tienes razon,ya revise mi correo y no me a llegado nada de aviso.

    5. #15
      Warrior Avatar de @JoseAsuncion
      Registrado
      sep 2012
      Ubicación
      Lima
      Mensajes
      11.597

      EBay bajo Investigación después de incumplimiento masivo sobre Prácticas de Seguridad

      EBay bajo Investigación después de incumplimiento masivo sobre Prácticas de Seguridad.



      Tras el ciberataque masivo que afectó a sus 145 millones de usuarios, eBay informa, que enfrenta una investigación formal por parte del gobierno sobre sus prácticas de seguridad.

      Como primero fuera reportado por CNET, eBay tendrá que responder a las preguntas del gobierno acerca de qué tipo de seguridad de la empresa tenía antes de que los hackers pudieran acceder a los datos personales de sus usuarios.

      A principios de esta semana, eBay instó a los usuarios a actualizar sus contraseñas de inmediato. La violación, que fue confirmado por los investigadores esta semana, ocurrió a finales de febrero y principios de marzo; eBay lo descubrió a principios de mayo. Parece que los hackers utilizaron una cuenta corporativa interna de eBay para espiar los nombres de usuario, direcciones de correo electrónico, direcciones físicas, números de teléfono y fechas de nacimiento. Los hackers tuvieron acceso a las contraseñas, pero estaban encriptadas, por lo que es poco probable que se vean comprometidos.

      "La magnitud de la violación de los datos reportados a eBay podría ser de proporciones históricas, y mi oficina es parte de un grupo de procuradores generales del país que investigan el asunto", dijo el Fiscal General de Florida, Pam Bondi en un comunicado. "Debemos hacer todo lo que esté a nuestro alcance para proteger la información personal de los consumidores."

      Representantes de eBay dijeron a Mashable que la compañía no sabía cuántos de los 145 millones de cuentas fueron vistas por los intrusos, y que no tendría ninguna otra actualización sobre la materia. La compañía destacó en varias ocasiones que ninguna información financiera fue tomada y que los ciberatacantes encontraron una brecha a través de la información de inicio de sesión de un solo empleado.

      La compañía aún no ha respondido a una solicitud de hacer comentarios sobre la investigación.

      Fuente: Mashable
      Woaxxx
      * Síguenos en nuestro Twitter y hazte nuestro amigo en Facebook.
      * Infórmate de las ultimas amenazas de la red desde: InfoSpyware Blog
      * No se resuelven dudas por Privados ni por E-mail, ya que para eso esta el foro.

    6. #16
      Warrior Avatar de @JoseAsuncion
      Registrado
      sep 2012
      Ubicación
      Lima
      Mensajes
      11.597

      Re: eBay ha sufrido un ciberataque: Cambia ahora mismo tu contraseña

      El peor día de eBay multiples defectos dejan a millones de usuarios vulnerables a los hacker.




      No ha sido más de 36 horas desde que eBay reveló que fue hackeado y se acaba de llegar a saber sobre tres vulnerabilidades críticas que podrían permitir a un atacante comprometer la cuenta de los usuarios, una vez más, incluso si ya se ha restablecido la contraseña de la cuenta después de el último anuncio.

      Ayer eBay admitió la violación de datos masiva que afectan a 145 millones de usuarios registrados en todo el mundo después de que se viera comprometida su base de datos. eBay instó a sus 145 millones de usuarios a cambiar sus contraseñas después del ataque cibernético, pero ¿será suficiente cambiar las contraseñas?
      La violación de datos en eBay ocurrió principalmente debido a su infraestructura vulnerable, no a contraseñas débiles.

      Creo que mañana eBay será visto peor que hoy, tres investigadores de seguridad dieron a conocer otros tres tipos diferentes de defectos críticos en la página web de eBay que dejan a sus 145 millones de usuarios vulnerables a los hackers.


      Los piratas pudieron haber subido un archivo shell en el servidor de eBay (vulnerabilidad sin parchear)


      Un fallo de seguridad crítico en la página web de eBay para sus empleados podría permitir a un atacante crear un shell backdoor, afirmó el investigador en seguridad, Jordan Jones quien descubrió la vulnerabilidad.

      El investigador de seguridad, Jordan Jones afirma desde su cuenta de twitter que él ya informó la falla crítica a eBay, junto con una captura de pantalla de prueba de concepto que demuestra que pudo subir correctamente un archivo 'shell.php' (como se muestra), un script PHP que permite al atacante controlar el servidor - esencialmente un programa de puerta trasera.



      En el momento de escribir esto, se confirmó que el archivo 'shell.php "está disponible en el servidor de Ebay en el lugar determinado:" xxhttpxx://dsl.ebay.com/wp-includes/Text/Diff/Engine/shell.php ", pero modificado el archivo en blanco.

      En una entrada de su blog , Jordan también ha informado acerca de otra vulnerabilidad explotada mediante un script en la página de eBay Research Labs (labs.ebay.com).


      Persistentes vulnerabilidades XSS en eBay (sin parchear)


      Michael E., otro investigador en seguridad de Alemania informó a The Hacker News que se encontró con un Cross-Site Scripting (XSS) persistente en las páginas de subastas de eBay que le permitieron inyectar HTML arbitrario y código Javascript en el sitio web de eBay.

      Cada vez que un usuario visita alguna página de la subasta infectada creada por el atacante, la vulnerabilidad XSS persistente reportada ejecutará el código Javascript no autorizado en el navegador de los usuarios pudiendo robar las cookies de la cuenta, en un intento por secuestrar la cuenta del usuario.


      Cualquier persona con un conocimiento técnico adecuado puede crear una página de subasta con un javascript malicioso incrustado, como se muestra en el enlace de prueba de concepto creado por Michael.

      xxhttx://www.ebay.de/itm/script-script-alert-1-script-x-onfocus-alert-1-autofocus-onl-/281257333177
      Cookie reutilizado para la vulnerabilidad (sin parchear)

      En un experimento separado, hemos descubierto que eBay acepta las mismos cookies de entrada una y otra vez, incluso si las víctimas han cerrado la sesión o restablecido sus contraseñas.

      Lo que significa que mediante el uso persistente de la vulnerabilidad XSS de Michael, se puede robar las cookies de la cuenta para obtener un acceso no autorizado a las cuentas respectivas de los usuarios de eBay, sin conocer sus contraseñas anteriores o actualizadas.

      Cuenta secuestrada debido a la vulnerabilidad (CRÍTICA y sin parchear)

      Un investigador de seguridad egipcio Yasser H. Ali 'informó a The Hacker News acerca de otra vulnerabilidad crítica en el sitio web de eBay, que puede permitir a un atacante secuestrar millones de cuentas de usuarios en grandes cantidades siendo por lo tanto un gran éxito en los ataques dirigidos.

      Por ahora estamos guardando los detalles técnicos de esta vulnerabilidad oculta a nuestros lectores, lo sentimos; ya que aún no ha sido abordada por el equipo de seguridad de eBay.

      Pero ayer por la tarde, como una prueba de concepto Mr.Yasser demostrado en forma privada paso a paso la vulnerabilidad al equipo de 'The Hacker News' y lo confirmamos... ¡funciona! Nos comprometemos a compartir los detalles técnicos de esta falla interesante, una vez que el equipo eBay lo parche.

      eBay # FRACASÓ


      eBay no hizo una protección adecuada de los datos sensibles de sus 145 millones de clientes a partir de la violación de los datos y que según parece aún no ha aprendido ninguna lección. Hay algunos puntos, que nos gustaría destacar sobre el comportamiento pasivo de eBay en la seguridad de los usuarios.

      Hace dos meses los hackers robaron una base de datos completa de los usuarios de eBay, que incluye nombres de clientes, contraseñas de cuentas, direcciones de correo electrónico, direcciones físicas, números de teléfono y fechas de nacimiento, que puede ser transmitida a otros criminales. Esta información sensible puede ser utilizada por un hacker potencial para reunir más información acerca de los usuarios mediante el envío de mensajes de spam y phishing mails, que podría llevar a problemas más serios con el fraude de identidad.

      Cuando las empresas han sido hackeadas, lo primero que hacen es alertar a sus usuarios. Pero de acuerdo con los informes de los medios, incluso después de 30 horas - eBay no ha enviado por correo electrónico a todos sus usuarios una notificación acerca de que deben cambiar sus contraseñas. Asimismo, la compañía tampoco ha dejado claro cuántas personas se vieron afectadas en la última violación de sus datos.

      Según una noticia aparte en Daily mail , eBay podría ser multado con £ 500.000 por incumplimiento por no proteger los datos de 18 millones de usuarios en Gran Bretaña. La pena puede ser impuesta por the Information Commissioner's Office, lo cual equivaldría a sólo 2p por cada uno de los 0,00002 por ciento del volumen global de los negocios anual de la compañía. MALA SUERTE.

      LLAMAMIENTO A EBAY

      Todas las vulnerabilidades mencionadas anteriormente han sido informadas al equipo de seguridad de eBay por cada investigador, y esperamos que alguien del equipo de seguridad de eBay definitivamente lea este artículo para entender las amenazas que podrían enfrentar por los piratas informáticos maliciosos.

      eBay debe tener una mayor preocupación en la seguridad de sus usuarios y de brindar una protección adecuada en la privacidad de sus usuarios, ya que la empresa es responsable de los datos de los cientos de millones de usuarios si ocurre cualquier fallo.

      Última edición por @JoseAsuncion fecha: 24/05/14 a las 19:16:20
      Woaxxx
      * Síguenos en nuestro Twitter y hazte nuestro amigo en Facebook.
      * Infórmate de las ultimas amenazas de la red desde: InfoSpyware Blog
      * No se resuelven dudas por Privados ni por E-mail, ya que para eso esta el foro.

    7. #17
      Ex-Colaborador Avatar de Dariosil
      Registrado
      jun 2009
      Ubicación
      Argentina.
      Mensajes
      5.878

      Re: eBay ha sufrido un ciberataque: Cambia ahora mismo tu contraseña

      Ahora cuando entras con tu usuario, aparece este aviso de restablecer la contraseña, sera algún truco para pescar bobos?? Por que ya la he cambiado cuando salio la noticia.

      “Software privativo significa que priva a los usuarios de su libertad“

      * Síguenos en nuestro Twitter y hazte nuestro amigo en Facebook.
      * Infórmate de las ultimas amenazas de la red desde: InfoSpyware Blog
      * No se resuelven dudas por Privados ni por E-mail, ya que para eso esta el foro.

    8. #18
      FS-Admin
      Avatar de @MarceloRivero
      Registrado
      ene 2005
      Ubicación
      Miami
      Mensajes
      40.914

      Re: eBay ha sufrido un ciberataque: Cambia ahora mismo tu contraseña

      Cita Originalmente publicado por Dariosil Ver Mensaje
      Ahora cuando entras con tu usuario, aparece este aviso de restablecer la contraseña, sera algún truco para pescar bobos?? Por que ya la he cambiado cuando salio la noticia.
      Dariosil, ya en eBay cambiaron el cartel para no generar más confusión en los usuarios aclarando las fechas... solo que eBay hace las cosas lentas y tarde, muy tarde...



      Salu2
      Marcelo Rivero
      Microsoft MVP Enterprise Security.



      * Síguenos en nuestro Twitter y hazte nuestro amigo en Facebook.
      * Infórmate de las ultimas amenazas de la red desde: InfoSpyware Blog
      * No se resuelven dudas por Privados ni por E-mail, ya que para eso esta el foro.

    9. #19
      Ex-Colaborador Avatar de Dariosil
      Registrado
      jun 2009
      Ubicación
      Argentina.
      Mensajes
      5.878

      Re: eBay ha sufrido un ciberataque: Cambia ahora mismo tu contraseña

      Gracias Piedra, ya andan mandando email para cambiar la contraseña.
      “Software privativo significa que priva a los usuarios de su libertad“

      * Síguenos en nuestro Twitter y hazte nuestro amigo en Facebook.
      * Infórmate de las ultimas amenazas de la red desde: InfoSpyware Blog
      * No se resuelven dudas por Privados ni por E-mail, ya que para eso esta el foro.

    Página 2 de 2 PrimeroPrimero 12