AWS

All posts tagged AWS

capital-one-san-francisco.jpg

Hackeo de Capital One involucra 100 millones de solicitudes de tarjetas de crédito en EEUU y Canadá

Los datos robados también incluyeron 140,000 números de Seguro Social y 80,000 números de cuentas bancarias.

Capital One dijo el pasado 29 de Julio que los datos de más de 100 millones de ciudadanos estadounidenses y 6 millones de residentes canadienses habían sido robados por un hacker .

Si solicitó una tarjeta de crédito del banco de EE. UU. Entre 2005 y 2019, es probable que su información sea parte de esta violación , dijo Capital One en un comunicado. Los datos incluyen aproximadamente 140,000 números del Seguro Social de los EE. UU. Y alrededor de 80,000 números de cuentas bancarias, según Capital One. El hacker también robó aproximadamente 1 millón de números de seguro social canadienses en la violación.

¿Qué es Capital One?
Capital One Financial Corporation (www.capitalone.com) es una sociedad financiera de cartera cuyas filiales, que incluyen Capital One, NA y Capital One Bank (EE. UU.), NA, tenían depósitos de $ 254.5 mil millones y activos totales de $ 373.6 mil millones a junio 30, 2019. Con sede en McLean, Virginia, Capital One ofrece un amplio espectro de productos y servicios financieros a consumidores, pequeñas empresas y clientes comerciales a través de una variedad de canales. Capital One, N.A. tiene sucursales ubicadas principalmente en Nueva York, Luisiana, Texas, Maryland, Virginia, Nueva Jersey y el Distrito de Columbia. Capital One, una compañía que cotiza en la lista Fortune 500, cotiza en la Bolsa de Nueva York con el símbolo “COF” y está incluida en el índice S&P 100.

Capital One agregó que “no se comprometió ningún número de cuenta de tarjeta de crédito o credenciales de inicio de sesión” y que más del 99 por ciento de los números de Seguridad Social que Capital One tiene en el archivo no se vieron afectados. Sin embargo, la violación incluyó nombres, direcciones, códigos postales, números de teléfono, direcciones de correo electrónico y fechas de nacimiento, todos los activos valiosos que los piratas informáticos pueden usar para robar a las víctimas.

El FBI arrestó a una trabajadora de tecnología de 33 años llamada Paige A. Thompson, que se conoce con el sobrenombre de “erratic” (errática), según el Departamento de Justicia . Los fiscales acusaron a Thompson de fraude y abuso informático, alegando que ella estaba detrás del ataque.

Si bien estoy agradecido de que el autor haya sido capturado, lamento profundamente lo que sucedió“, dijo Richard D. Fairbank, presidente y CEO de Capital One. “Pido disculpas sinceramente por la preocupación comprensible que este incidente debe estar causando a los afectados y estoy comprometido a corregirlo“.

El martes, la Fiscal General de Nueva York, Letitia James, dijo que comenzaría inmediatamente una investigación sobre el incidente de Capital One . “No podemos permitir que los ataques de esta naturaleza se conviertan en hechos cotidianos“, dijo James en un comunicado.

Este incidente se produce a raíz de la noticia de que Equifax puede tener que pagar hasta $ 700 millones por una violación de datos de 2017 . Esa violación de los servidores de Equifax involucró los números de Seguridad Social y las direcciones de casi 148 millones de estadounidenses.

Según los documentos judiciales en el caso de Capital One, Thompson supuestamente robó la información al encontrar un firewall mal configurado en el servidor en la nube de Amazon Web Services (AWS) de Capital One. Los investigadores acusaron a Thompson de acceder a ese servidor del 12 de marzo al 17 de julio. Según el Departamento de Justicia, se almacenaron más de 700 carpetas de datos en ese servidor.

Thompson presuntamente publicó detalles sobre el hack en una página de GitHub en abril, y habló sobre el ataque en Twitter y las discusiones de Slack, según el FBI.

Los documentos de la corte mostraron que Capital One no se enteró del hackeo hasta el 17 de julio, cuando alguien envió un mensaje a la dirección de correo electrónico de divulgación responsable de la compañía con un enlace a la página de GitHub. La página había estado activa desde el 21 de abril, con la dirección IP de un servidor específico que contenía los datos confidenciales de la compañía.

Capital One alertó rápidamente a las fuerzas del orden público sobre el robo de datos, lo que permitió al FBI rastrear la intrusión“, dijo el fiscal federal Brian T. Moran en un comunicado.

La página de GitHub tenía el nombre completo de Thompson, así como otra página que contenía su currículum. Los documentos de la corte mostraron que en el currículum, Thompson figuraba como ingeniero de sistemas y era empleada de Amazon Web Services de 2015 a 2016. En un comunicado, Amazon dijo que la ex empleada dejó la empresa tres años antes de que ocurriera el ataque.

Amazon dijo que AWS no se vio comprometido de ninguna manera, señalando que el presunto hacker obtuvo acceso a través de una configuración incorrecta en la aplicación del servidor de la nube, no a través de una vulnerabilidad en su infraestructura.

El FBI también encontró registros de mensajes en Twitter donde Thompson supuestamente escribió: “Básicamente me até a un chaleco bomba, fui directo a Capitol one y lo admití“, señalando que quería distribuir los datos que robó.

Capital One dijo que era “improbable que la información fuera utilizada por fraude o difundida por esta persona“, pero se comprometió a investigar el hackeo en su totalidad. La compañía espera que este truco le cueste a la compañía aproximadamente $ 100 millones a $ 150 millones de dólares en 2019.

El FBI confiscó los dispositivos de Thompson el lunes después de obtener una orden de registro y la arrestó. Si es declarada culpable, Thompson enfrenta hasta cinco años de prisión y una multa de US$ 250,000.

Al igual que Equifax, Capital One dijo que proporcionaría monitoreo de crédito gratuito y protección de identidad a todos los involucrados.

Referencias: https://cnet.co/2MKzpHj




leer más
Isaul CarballarHackeo de Capital One involucra 100 millones de solicitudes de tarjetas de crédito en EEUU y Canadá
3.jpg

Aprende sobre el caso de violación de datos nativos en la nube

No existe rincón en el mundo digital en donde un pirata informático no pueda atacar. Estos delincuentes pueden ingresar a cualquier computadora personal, servidor, sitio web o lo que sea que esté conectado desde cualquier parte del mundo. Hay quienes creen que poner los datos en una nube es 100 % seguro, pero la verdad es que nada en este mundo lo es. Las violaciones de datos nativas de la nube con frecuencia tienen características distintas y siguen una progresión diferente a las violaciones de datos físicos. Lo que te traemos a continuación es un ejemplo que sucedió en la vida real, se trata de una violación de datos nativos en la nube, te diremos cómo ocurrió y cómo podría haberse evitado.

Violación de datos nativos en la nube

Esto le ocurrió a una aplicación de medios sociales para compartir fotos, con más de 20 millones de usuarios. Almacena más de 1PB de datos de usuario en Amazon Web Services (AWS), y en 2018, fue víctima de una violación masiva de datos que expuso a casi la totalidad de los registros de usuarios que tenían. Esta violación de datos nativos en la nube ocurrió de la siguiente manera.

violación de datos nativos en la nube

Paso 1) Comprometer a un usuario legítimo

En este incidente, el pirata informático utilizó un ataque de phishing para obtener las credenciales de un usuario administrativo en el entorno de la empresa.

Paso 2) Fortalecer el acceso

Seguidamente, el atacante se conectó al entorno de la nube de la empresa a través de una dirección IP registrada en un país extranjero y creó claves de acceso API con acceso administrativo completo.

Paso 3) Reconocimiento

Una vez dentro, el atacante solo deberá determinar qué permisos se otorgarán y qué acciones permitirá este rol.

Paso 4) Explotación

Una vez que se han determinado los permisos disponibles en la cuenta, el atacante puede proceder a explotarlos. Entre otras actividades, el atacante duplicó la base de datos del usuario maestro y la expuso al mundo exterior con permisos públicos.

Paso 5) Exfiltración

Ya con la información del cliente a la mano, el atacante copió los datos fuera de la red, obteniendo acceso a más de 20 millones de registros que contenían información personal del usuario.

Aunque cada incidente de violación de datos puede desarrollarse de manera diferente, una violación de datos nativos en la nube a menudo sigue una progresión típica de compromiso de cuenta legítima, reconocimiento de cuenta, escalada de privilegios, explotación de recursos y filtración de datos.

¿Qué se pudo haber hecho para evitar este ataque?

Primeramente, limitar los permisos. Con frecuencia, las cuentas de usuario en la nube tienen muchos permisos que no necesitan o nunca usan y esto es algo que aprovechan los piratas informáticos. Así que sería excelente limitar los permisos solo a lo que el usuario necesita para ayudar a garantizar que, incluso si la cuenta está comprometida, el daño que puede hacer un atacante sea limitado.

Seguidamente, estar alerta a las actividades sospechosas. Dado que las violaciones de datos nativos de la nube suelen tener una progresión común, existen ciertas actividades de la cuenta, como el escaneo de puertos, la invocación de API utilizadas anteriormente y la concesión de permisos públicos, que pueden identificarse.

Posteriormente, generar procedimientos de respuesta automática. La automatización de los mecanismos de respuesta puede ayudar a bloquear la actividad maliciosa en el momento en que se detecta y evitar que el pirata tenga éxito en su objetivo.

Finalmente, se deben proteger las credenciales de acceso. Siempre te debes asegurar que las credenciales de tu cuenta en la nube son tan fuertes como sea posible, es fundamental para garantizar que no caigan en las manos equivocadas. Cambiar las contraseñas periódicamente es la acción más segura que todo usuario debe realizar.

leer más
Diarleth G.Aprende sobre el caso de violación de datos nativos en la nube

EEUU respalda el desconocimiento de Apple y Amazon de los chips espías chinos

Apple y Amazon niegan conocimiento de servidores comprometidos Chinos

Entrada del Departamento de Seguridad Nacional de EEUU

Departamento de Seguridad Nacional de EEUU

Luego del informe de Bloomberg Businessweek de la semana pasada que decía que los espías chinos se infiltraron en los servidores comerciales de Estados Unidos con microchips ocultos, el Departamento de Seguridad Nacional (DHS por sus siglas en inglés Department of Homeland Security) dice que “no hay razón para dudar de las declaraciones de las compañías nombradas en la historia“.

Declaraciones de las empresas involucradas

Es falso que AWS (Amazon Web Services, servicio de hospedaje en la nube de Amazon) supiera sobre una cadena de suministro comprometida, un problema con chips maliciosos o modificaciones de hardware al adquirir Elemental. También es falso que AWS supiera sobre los servidores que contienen chips maliciosos o modificaciones en centros de datos con sede en China, o que AWS trabajó con el FBI para investigar o proporcionar datos sobre hardware malicioso.

Hemos revisado nuevamente nuestros registros relacionados con la adquisición de Elemental para verificar cualquier problema relacionado con SuperMicro, incluyendo la revisión de una auditoría de seguridad de terceros que realizamos en 2015 como parte de nuestro proceso de ‘diligencia debida’ antes de la adquisición. No hemos encontrado pruebas que respalden las afirmaciones de chips maliciosos o modificaciones de hardware.” – Amazon

En el transcurso del año pasado, Bloomberg nos contactó varias veces con reclamos, a veces imprecisos y en ocasiones complejos, de un supuesto incidente de seguridad en Apple. En cada ocasión hemos realizado investigaciones internas rigurosas basadas en sus investigaciones y ninguna ocasión hemos encontrado alguna evidencia que respalde ninguno de sus reclamos. En el expediente, hemos ofrecido respuestas repetidas y sistemáticamente objetivas que refutan prácticamente todos los aspectos de la historia de Bloomberg relacionados con Apple.

. . .

En esto podemos ser muy claros: Apple nunca ha encontrado chips maliciosos, “manipulaciones de hardware” o vulnerabilidades plantadas a propósito en ningún servidor. Apple nunca tuvo contacto con el FBI ni con ninguna otra agencia sobre tal incidente. No tenemos conocimiento de ninguna investigación por parte del FBI, ni nuestros contactos en la aplicación de la ley.” – Apple

Si bien cooperaríamos con cualquier investigación gubernamental, no tenemos conocimiento de ninguna investigación relacionada con este tema ni ninguna agencia gubernamental nos ha contactado al respecto. No tenemos conocimiento de ningún cliente que haya eliminado a Supermicro como proveedor a partir de este problema.

. . .

Además, Supermicro no diseña ni fabrica chips de redes ni el firmware asociado, y nosotros, al igual que otras compañías líderes de servidores / almacenamiento, los adquirimos de las mismas compañías líderes de redes.” – Supermicro

La declaración coincide con lo que dijeron los funcionarios de ciberseguridad del Reino Unido el viernes: que estaban al tanto de los informes, pero no tenían ninguna razón para dudar de las enérgicas negativas de Amazon y Apple de que sus sistemas estaban comprometidos. El DHS señala que está al tanto del informe y dijo que recientemente lanzó varias “iniciativas gubernamentales e industriales para desarrollar soluciones a corto y largo plazo para administrar el riesgo que plantean los complejos desafíos de las cadenas de suministro cada vez más globales“.

La semana pasada, el informe de Bloomberg Businessweek citó a actuales y antiguos funcionarios de inteligencia de los Estados Unidos, quienes afirmaron que espías chinos trabajaron para colocar microchips en los servidores, permitiéndoles acceso a los sistemas. El informe afirma que Apple y Amazon descubrieron los microchips y los informaron a las autoridades estadounidenses. Pero ambas compañías han negado la historia. Los expertos en seguridad cibernética han advertido que tal amenaza existe y que podría ser difícil de contrarrestar. Pero a raíz de la publicación del informe, el escepticismo se ha ido acumulando a medida que las compañías involucradas y las agencias gubernamentales han rechazado sus acusaciones.

 

Adaptación de un artículo publicado originalmente en: The Verge
leer más
Isaul CarballarEEUU respalda el desconocimiento de Apple y Amazon de los chips espías chinos