No pasa una semana en la que la ciberseguridad no domine los titulares. Esta semana no fue distinta. Luchando para mantener el ritmo? Hemos recopilado algunas de las historias de seguridad cibernética más grandes de la semana para mantenerlo informado y actualizado.
TechCrunch: Esta fue la mayor historia de seguridad de iPhone del año. Los investigadores de Google encontraron una cantidad de sitios web que estaban pirateando sigilosamente miles de iPhones cada semana. La operación fue realizada por China para atacar a los musulmanes uigures, de acuerdo a las fuentes, y también usuarios específicos de Android y Windows. Google dijo que era un ataque "indiscriminado" a través del uso de vulnerabilidades llamadas "día cero" previamente no reveladas.
Los piratas informáticos podrían robar un Tesla Model S clonando su llavero – nuevamente
Cableado: Por segunda vez en dos años, los investigadores encontraron una falla grave en los llaveros utilizados para desbloquear los autos Model S de Tesla. Es la segunda vez en dos años que los piratas informáticos han descifrado con éxito el cifrado del mando. Resulta que la clave de cifrado se duplicó en tamaño desde la primera vez que se descifró. Usando el doble de recursos, los investigadores descifraron la clave nuevamente. La buena noticia es que una actualización de software puede solucionar el problema.
El principal organismo de control de datos de la UE de Microsoft está investigando nuevas preocupaciones de privacidad de Windows 10
TechCrunch: Microsoft podría volver a estar en apuros con los europeos después de que la autoridad holandesa de protección de datos le pidiera a su homólogo irlandés, que supervisa al gigante del software, que investigue Windows 10 por presuntamente infringir las normas de protección de datos de la UE. Una queja principal es que Windows 10 recopila demasiada telemetría de sus usuarios. Microsoft hizo algunos cambios
El ataque cibernético de EE. UU. Perjudicó la capacidad de Irán de atacar a los petroleros, dicen las autoridades
Los New York Times: Un secreto ataque cibernetico contra Irán en junio, pero solo informó esta semana que degradó significativamente la capacidad de Teherán para rastrear y atacar a los petroleros en la región. Es uno de varias operaciones ofensivas recientes contra un objetivo extranjero del gobierno de EE. UU. en las polillas recientes. El ejército iraní se apoderó de un petrolero británico en julio en represalia por una operación estadounidense que derribó un avión no tripulado iraní. Según un alto funcionario, el ataque "disminuyó la capacidad de Irán para llevar a cabo ataques encubiertos" contra los petroleros, pero despertó la preocupación de que Irán pueda recuperarse rápidamente al corregir la vulnerabilidad utilizada por los estadounidenses para cerrar la operación de Irán en el primer lugar.
Apple está desactivando la revisión de clip de audio Siri de forma predeterminada y trayéndola a casa
TechCrunch: Después de que Apple fue sorprendido pagando a los contratistas para revisar las consultas de Siri sin el permiso del usuario, el gigante de la tecnología dijo esta semana que se apagará revisión humana de audio Siri de forma predeterminada y con cualquier revisión de aceptación interna. Eso significa que los usuarios deben permitir activamente que el personal de Apple "califique" fragmentos de audio hechos a través de Siri. Apple comenzó a calificar el audio para mejorar el asistente de voz Siri. Amazonas, Facebook, Googley Microsoft todos han sido atrapados usando contratistas para revisar el audio generado por el usuario.
Los hackers están intentando activamente robar contraseñas de dos VPN ampliamente utilizadas
Ars Technica: Los hackers están atacando y explotando vulnerabilidades en dos populares servicios de red privada virtual (VPN) corporativa. Fortigate y Pulse Secure permiten a los empleados remotos hacer un túnel en sus redes corporativas desde fuera del firewall. Pero estos servicios de VPN contienen fallas que, si se explotan, podrían permitir que un atacante experto ingrese en túnel a una red corporativa sin necesitar el nombre de usuario o contraseña de un empleado. Eso significa que pueden obtener acceso a todos los recursos internos en esa red, lo que puede conducir a una importante violación de datos. La noticia de los ataques llegó un mes después de las vulnerabilidades en las VPN corporativas ampliamente utilizadas fueron revelados por primera vez. Existen miles de puntos finales vulnerables, meses después de que se corrigieron los errores.
Gran jurado acusa a presunto hacker de Capital One por reclamos de criptojacking
TechCrunch: Y finalmente, justo cuando pensabas que la violación de Capital One no podría empeorar, lo hace. Un gran jurado federal dijo que el hacker acusado, Paige Thompson, debería ser acusado de nuevos cargos. Se dice que el presunto hacker creó una herramienta para detectar instancias en la nube alojadas por Amazon Web Services con firewalls web mal configurados. Al usar esa herramienta, se la acusa de irrumpir en esas instancias en la nube e instalar software de minería de criptomonedas. Esto es conocido como "cryptojacking" y se basa en el uso de recursos informáticos para extraer criptomonedas.