AnuncioEn nuestros artículos anteriores, explicamos los tokens de seguridad como YubiKey. Un token de seguridad es una pieza de hardware que se utiliza para identificar y autenticar a los usuarios. En ocasiones, también se utiliza para referirse a tokens de software. Suelen formar parte de un sistema de control de acceso con autenticación de dos factores. Se deben utilizar otras funciones de seguridad para la autenticación contra el uso indebido de esta pieza de hardware. Proceso de autenticación de tokens de seguridad El usuario inicia el intercambio de datos entre el token y el sistema de verificación, por ejemplo, sosteniendo el token frente a un lector. El lector identifica el token por su(s) número(s) de identificación único(s), como su número de tipo, un número de serie del medio, un número de registro del operador y/o un número de clase de usuario. El sistema de verificación compara el conjunto de datos leído por el token con los datos de referencia locales correspondientes de acuerdo con un procedimiento de verificación bien definido: La autenticación del token se lleva a cabo mediante autenticación de desafío-respuesta, posiblemente se verifiquen más datos a medida que se solicitan características de seguridad adicionales, como un PIN, al portador del token. Para estar seguro, los datos de referencia locales se comparan con otros datos de referencia. datos de una base de datos de un servidor remoto (por ejemplo, a través de una línea alquilada o una línea de acceso telefónico protegida). En caso de un token no válido o datos de referencia adicionales no válidos, el sistema de verificación rechaza el acceso adicional. Para rastrear la autenticación, los datos del evento de el proceso de verificación se transmite de regreso al servidor. El sistema de verificación aprueba el uso permitido para el portador del token, como funciones y/o datos. Seguridad, falsificación y manipulación Para aplicaciones críticas para la seguridad, un token de seguridad debe ser un elemento único que esté especialmente protegido contra manipulación, duplicación o falsificación. El token de seguridad debe generar claves de sesión para usarse una vez a partir de un secreto fijo almacenado en el token. la llamada clave primaria. Para ello, se utiliza un criptoprocesador, que son microcontroladores especialmente equipados que están equipados con funciones de seguridad adicionales. Estas funciones de seguridad protegen principalmente contra lecturas no deseadas y ingeniería inversa, por ejemplo, eliminando por completo las interfaces de desarrollo convencionales como JTAG del circuito. Para ello se utilizan métodos criptográficos. Las operaciones criptográficas tienen lugar entonces dentro del chip. En la práctica, también se utilizan para la autenticación métodos que sólo permiten la identificación pero no la autenticación. El código de dichas fichas no es a prueba de falsificación, ya que la característica de identificación se puede leer y reproducir libremente. Estos procesos incluyen soluciones con chips RFID pasivos, que tienen un número de serie único y han sido desarrollados según diferentes estándares ISO para su uso en etiquetas electrónicas (tags). Inseguras en el sentido de copiables son las soluciones puras de almacenamiento con tarjetas con chip, tarjetas con banda magnética , códigos de barras, archivos de llaves en soportes de datos como memorias USB y la llave clásica. También se puede atacar la comunicación entre un token (que de otro modo sería seguro) y el lector, en el caso más sencillo mediante un ataque de repetición. Los cables de conexión de libre acceso (USB) facilitan la conexión de registradores de datos. En particular, si no hay control mecánico y/o visual del token por parte del lector o del personal operativo, también se pueden usar dispositivos que no necesitan parecerse al token original en tipo y tamaño para superar el sistema. Las transmisiones de radio a menudo pueden grabarse a grandes distancias y, por lo tanto, ofrecen una gran superficie de ataque para su manipulación. Nunca habrá una solución absolutamente segura con un único factor de autenticación, todos los procedimientos de seguridad pueden superarse. El diseño del token y el tipo de transmisión de datos (mecánica, eléctrica, magnética, óptica,…) tiene un impacto importante en la protección contra la manipulación. Por ejemplo, una tarjeta inteligente puede retraerse completamente y protegerse mediante un lector. Asimismo, el diseño de un lector o terminal de cliente como una unidad compacta y protegida contra robo, sustitución y otras manipulaciones contribuye significativamente a la seguridad. Discusión de soluciones La diferenciación de los casos de uso es un requisito previo para una evaluación significativa de la seguridad, por ejemplo: Control de acceso desde espacios públicos Control de acceso en espacios públicos Control de acceso en una habitación bien asegurada Control de acceso con buena separación del entorno Todas las aplicaciones en espacios públicos son inevitablemente en peligro por parte de terceros no autorizados. Las afirmaciones en sentido contrario se basan en restricciones que normalmente no se mencionan explícitamente, como la distancia máxima de lectura utilizable. La facilidad de uso siempre va de la mano de los peligros. Las generalizaciones no ayudan.
Mes: abril 2024 Página 1 de 116
SpaceX / SpaceX SpaceX lanzará uno de sus propulsores Falcon 9 por vigésima vez el viernes, lo que pone de relieve una vez más el éxito del sistema de cohetes reutilizables de la compañía. El Booster 1062, que realizó su primer vuelo en noviembre de 2020, despegará del Complejo de Lanzamiento Espacial 40 (SLC-40) en la Estación de la Fuerza Espacial de Cabo Cañaveral en Florida el viernes 12 de abril, en una misión para desplegar 23 satélites Starlink en zonas bajas. Órbita terrestre. Una transmisión web en vivo del vuelo récord comenzará en X (anteriormente Twitter) a las 9:17 pm ET, unos cinco minutos antes del despegue. Aquellos que sintonicen serán testigos del ascenso del cohete Falcon 9 hacia el cielo por vigésima vez, un récord, junto con la separación de escenarios y el despliegue de los satélites de Internet de SpaceX. El webcast también mostrará el aterrizaje vertical del propulsor de primera etapa en el avión no tripulado A Shortfall of Gravitas en el Océano Atlántico unos ocho minutos después del lanzamiento, una hazaña que allanará el camino para el vuelo número 21 del cohete. Una oportunidad de respaldo para la misión del viernes está disponible el sábado en caso de que el horario de vuelo previsto requiera un ajuste por cualquier motivo. El Booster 1062 voló por última vez el 16 de marzo y también tiene el récord de retorno más rápido a los 21 días después de un vuelo el 8 de abril de 2022. El cohete lanzó anteriormente el GPS III Space Vehicle 04, el GPS III Space Vehicle 05, el Inspiration4 tripulado y el Axe. -1 vuelos, Nilesat 301, OneWeb Launch 17, ARABSAT BADR-8 y 12 misiones Starlink. Otros tres propulsores de primera etapa también han volado 19 veces, por lo que el récord del Booster 1062 podría durar poco si los ingenieros seleccionan cualquiera de esos otros para vuelos múltiples en los próximos meses. La reutilización por parte de SpaceX del propulsor de primera etapa, las naves espaciales Crew Dragon y Dragon y el carenado del cohete le ha permitido reducir el costo de los vuelos espaciales y aumentar la frecuencia de los vuelos, aumentando así el acceso al espacio para más empresas y organizaciones. Recomendaciones de los editores
El ministro de Comercio de China, Wang Wentao, habló con los jefes de los principales fabricantes de automóviles, incluidos BYD y Geely, el 7 de abril en París, mientras las empresas luchan por encontrar soluciones a una investigación en curso de la Comisión Europea que podría resultar en aranceles sustanciales sobre sus importaciones de vehículos eléctricos en Los Estados unidos. Por qué es importante: La reunión se produce mientras la UE se prepara para publicar sus conclusiones sobre si los fabricantes de automóviles chinos se han beneficiado injustamente de los subsidios estatales. Bruselas podría aumentar los aranceles del 10% actual a al menos el 25%, según una estimación del grupo de presión medioambiental europeo Transport & Environment (T&E). Los fabricantes de automóviles chinos han pedido apoyo gubernamental para impulsar un aumento de aranceles reducido y contrarrestar una mayor participación política internacional en la industria, dijeron fuentes con conocimiento del asunto al medio financiero Caixin (en chino). Se dice que representantes de BYD, SAIC y Geely acompañaron a Wang durante su viaje. Detalles: En una mesa redonda con líderes empresariales, Wang destacó la importancia de que los fabricantes de automóviles chinos expandan los mercados extranjeros «de manera ordenada» y adopten la competencia, según una publicación en Twitter de la Cámara de Comercio de China ante la UE (CCCEU). espera que sus fabricantes impulsen el desarrollo integrado de la inversión y el comercio y mantengan su compromiso con la innovación tecnológica, dijo Wang. Añadió que las afirmaciones de que la competitividad de los vehículos eléctricos de China se deriva de subsidios estatales y conlleva problemas de exceso de capacidad en China son falsas e infundadas. Durante el viaje del 7 al 9 de abril, Wang también se reunió con Franck Riester, ministro de Comercio Exterior de Francia, informó la emisora estatal CGTN, así como con el director ejecutivo de Renault, Luca de Meo, presidente en funciones de la Asociación Europea de Fabricantes de Automóviles. De Meo sugirió que los fabricantes de automóviles chinos establezcan su cadena de suministro localmente, dijeron fuentes a Reuters. Contexto: Francia ha respaldado la investigación de la Comisión, según Reuters, y recientemente ha cambiado las reglas de subsidio de una manera que efectivamente excluye a los modelos de vehículos eléctricos chinos. A cambio, China ha solicitado a los gigantes franceses de la cosmética, incluidos L’Oréal y LVMH, que cumplan con sus normas de seguridad de datos informando detalles relacionados con los procesos de fabricación y los ingredientes. También inició en enero una investigación antidumping sobre las exportaciones de brandy de la UE. El viaje de Wang se produce antes de la visita prevista del presidente chino Xi Jinping a París y de las discusiones sobre las tensiones comerciales con su homólogo francés Emmanuel Macron, previstas para mayo. Este será el primer viaje de Xi a Europa en cinco años, mientras crecen las tensiones entre China y la UE. Según se informa, la Comisión realizó visitas a BYD, SAIC y Geely para realizar trabajos de verificación a principios de este año, seguidas del lanzamiento de un proceso de registro personalizado especial para vehículos eléctricos fabricados en China, ya que las importaciones aumentaron un 14% interanual desde las investigaciones formales. comenzó el pasado mes de octubre. Los principales fabricantes de automóviles chinos, incluidos BYD, SAIC y Chery, también planean construir sus propias fábricas de automóviles en Europa y al mismo tiempo construir embarcaciones para envíos, ya que buscan capturar una participación de mercado significativa en la región con sus vehículos eléctricos asequibles. Relacionado Jill Shen es reportera de tecnología con sede en Shanghai. Cubre la movilidad china, los vehículos autónomos y los coches eléctricos. Conéctese con ella por correo electrónico: jill.shen@technode.com o Twitter: @jill_shen_sh Más de Jill Shen
Google Pay ha revolucionado la forma en que manejamos los pagos, haciendo que las transacciones sean rápidas, convenientes y seguras. Compartiremos los mejores consejos y trucos sobre cómo usarlo como un profesional. Desde realizar pagos hasta administrar sus tarjetas y recompensas. Y, con suerte, comparte algunas cosas que aún no sabías sobre la plataforma de pagos de Google. Agregue múltiples métodos de pago ¿Sabía que Google Pay le permite agregar múltiples métodos de pago, incluidas tarjetas de crédito, tarjetas de débito e incluso PayPal? Al agregar todos sus métodos de pago preferidos, tendrá flexibilidad y conveniencia al realizar compras en línea o en la tienda. Administrar tarjetas de fidelidad y recompensas Aproveche la función de recompensas y tarjetas de fidelidad de Google Pay para realizar un seguimiento de sus programas de fidelidad y ganar recompensas con cada compra. Simplemente agregue sus tarjetas de fidelidad y podrá acceder a ellas fácilmente cuando las necesite. Enviar y recibir dinero ¿Necesita dividir la factura con amigos o enviar dinero a familiares? Google Pay facilita enviar y recibir dinero directamente desde su teléfono. Ya sea que estés compartiendo la cena, pagando el alquiler o enviando un regalo, puedes hacerlo todo con solo unos pocos toques en la aplicación. Toque para pagar Olvídese de buscar su billetera o hurgar en su bolso: la función Tocar para pagar le permite realizar pagos sin contacto con su teléfono en millones de tiendas en todo el mundo. Simplemente desbloquee su teléfono, manténgalo cerca de la terminal de pago y listo. Es rápido, seguro e increíblemente conveniente. Utilice Google Pay en sitios web y aplicaciones Al comprar en línea o utilizar aplicaciones móviles, Google Pay facilita el pago. Busque el botón Google Pay al finalizar la compra y tóquelo para completar su compra de forma rápida y segura. Ya no tendrá que ingresar información de pago y envío cada vez que compre. Manténgase organizado con el historial de transacciones Realice un seguimiento de sus gastos y vea el historial de transacciones detallado directamente desde la aplicación Google Pay. Supervise fácilmente sus compras, realice un seguimiento de los gastos y manténgase al tanto de sus finanzas con esta práctica función. También puede configurar notificaciones para cada transacción para recibir alertas en tiempo real en su teléfono. Asegure su cuenta Proteja su cuenta con funciones de seguridad adicionales, como autenticación de huellas dactilares o desbloqueo facial. También puedes habilitar las medidas de seguridad integradas de Google, como el cifrado del dispositivo y el borrado remoto del dispositivo, para mayor tranquilidad. Con estas medidas de seguridad implementadas, puede utilizar Google Pay con confianza y sabiendo que su información está segura. Muchas formas de pagar Con su perfecta integración, funciones convenientes y sólidas medidas de seguridad, Google Pay se ha convertido en una herramienta indispensable para administrar pagos y finanzas. Si domina estos consejos y trucos, podrá llevar su experiencia al siguiente nivel y optimizar su proceso de pago como un profesional. Ya sea que estés realizando compras en una tienda, en línea o enviando dinero a amigos, Google Pay hace que sea más fácil que nunca manejar tus transacciones con facilidad.
Qué hacer si recibe una advertencia Si ha recibido una notificación de amenaza, debe actuar de inmediato. El Laboratorio de Seguridad de Amnistía Internacional nos dice que una notificación de amenaza de Apple debe verse como una indicación muy fuerte de que estás siendo atacado. Las propias pruebas forenses de Amnistía con dispositivos individuales que han recibido dichas notificaciones confirman que deben tomarse en serio y, si usted ha recibido una, debe tomar medidas inmediatas para remediar y proteger su existencia digital. Apple recomienda que obtenga ayuda de expertos, como la asistencia de seguridad de emergencia de respuesta rápida proporcionada por la Línea de ayuda de seguridad digital de la organización sin fines de lucro Access Now. Amnistía Internacional y otros socios de la sociedad civil del Security Lab también están equipados para brindar apoyo a las personas que recibieron las notificaciones de Apple. ¿Están proliferando estos ataques? Reuters también señala que Apple ha cambiado la forma en que describe los ataques. La compañía ahora le dice a la gente que pueden haber sido víctimas de un “ataque de software espía mercenario”, en lugar de enmarcar el ataque como “patrocinado por el estado” como lo hacía antes. Si bien esto se describe como una reacción a la renuencia del gobierno a vincularse con tales ataques, también es plausible creer que refleja un crecimiento continuo en el negocio de la vigilancia. Como he advertido antes, los costosos ataques patrocinados por el Estado de hoy se convertirán en la ganga de 100 dólares del mañana en la web oscura. Estas tecnologías ofensivas son absolutamente insidiosas y pudren el centro de la democracia. Apple también actualizó su artículo de soporte de Apple sobre software espía mercenario y las notificaciones de amenazas que ha compartido. «Los ataques de software espía mercenario cuestan millones de dólares y, a menudo, tienen una vida útil corta, lo que los hace mucho más difíciles de detectar y prevenir», afirmó la empresa. «La gran mayoría de los usuarios nunca serán el objetivo de este tipo de ataques».
Google lanzó hoy la primera versión beta del sistema operativo Android 15 para los usuarios públicos después de las vistas previas de los desarrolladores. Aquellos usuarios de Pixel inscritos en el Programa de desarrolladores de Android Pixel pueden instalar el firmware, y los dispositivos compatibles incluyen la serie Pixel 5a hasta Pixel 8 (revisión), así como Pixel Fold (revisión) y Pixel Tablet (revisión). Estas son las novedades de esta actualización. Android 15 Beta 1 es la primera actualización inalámbrica que se incluye en la versión beta inicial. Esto pone la línea de tiempo de Android de Google en el camino correcto y se espera que la primera actualización dentro de la fase de estabilidad de la plataforma llegue en junio. Mientras tanto, la primera versión estable aún puede llegar a dispositivos a partir de agosto de este año, similar a la línea de tiempo de Android 14. Los hitos de desarrollo del sistema operativo Android 15 llegarán a la versión estable para el público. / © nextpit Novedades de Android 15 Beta 1: compatibilidad de borde a borde, mejor archivado de aplicaciones y más Google no ha detallado todos los cambios a nivel de sistema y de cara al usuario con la primera versión beta, pero tiende a compartir el completo registro de cambios en el próximo I/O 2024, cuyo inicio está previsto para el 14 de mayo. No obstante, hay aspectos destacados de esta actualización que aún vale la pena compartir. Lo más evidente para los usuarios es la compatibilidad con la función de borde a borde de forma predeterminada en las aplicaciones. Esto beneficia a los dispositivos de gran tamaño, como los teléfonos inteligentes y las tabletas plegables. El borde a borde expande la vista de la aplicación transformando la barra de notificación de estado en la ventana. También elimina la barra negra de la barra de navegación inferior, utilizando más espacios vacíos. Android 15 Beta 1 agrega funciones de borde a borde para aplicaciones que benefician a los teléfonos inteligentes y tabletas plegables / © Google En Beta 1, Google está implementando por completo el archivo de aplicaciones actualizado que se agregó por primera vez en la versión preliminar para desarrolladores de Android 15. El cambio podrá administrar mejor los datos en aplicaciones no utilizadas eliminando archivos en caché «grandes y más gruesos» pero conservando los datos esenciales de los usuarios. Google también dijo que las aplicaciones archivadas serán etiquetadas para que los usuarios las tengan en cuenta. En cuanto a seguridad, Google está introduciendo una nueva gestión de claves para el cifrado de extremo a extremo en Android 15. Lo que esto implica para los usuarios es que pueden gestionar y autenticar sus propias “claves públicas de contactos” y la información de otros usuarios en los contactos. aplicación a nivel del sistema. Otro cambio dentro del frente de seguridad de Android 15 es cómo se puede evitar que las aplicaciones maliciosas en segundo plano otorguen privilegios adicionales a otras aplicaciones y las pongan en primer plano. Como resultado, esto mejora la protección de los usuarios. En cuanto a accesibilidad, Android 15 le brinda a la herramienta TalkBack una compatibilidad más amplia para pantallas braille que usan estándares HID. En esencia, esto debería brindar la misma versatilidad que al usar otros accesorios a través de conexiones Bluetooth o USB. Google ha establecido que los usuarios pueden esperar más lanzamientos beta para probadores públicos y desarrolladores que se acerquen al calendario de estabilidad, que es en junio. ¿Cuáles son otros grandes cambios que se pueden esperar de Android 15? Otras características nuevas y cambios confirmados con Android 15 son la mensajería satelital que debería permitir chats SMS y RCS en lugares remotos o áreas sin Wi-Fi ni datos móviles disponibles. Además, se ve que Google se está preparando para presentar un modo de escritorio mejorado para Android que le dará características comparables al modo DeX de Samsung o al Ready For de Motorola. Asimismo, puedes consultar otros aspectos destacados importantes de Android 15 aquí. Oferta de afiliado ¿Estás inscrito en el programa de desarrolladores de Android de Google? ¿Has probado la primera beta de Android 15? ¿Qué otros cambios has encontrado? Comparta con nosotros sus hallazgos en los comentarios.
En la prolongada batalla contractual entre TikTok y Universal Music Group, se hizo una exención de alto perfil para Taylor Swift. Algunas de sus canciones volvieron a estar disponibles en TikTok el jueves, apenas una semana antes del lanzamiento del último álbum de Swift, The Tortured Poets Department. Aún no está claro qué tipo de arreglo se hizo para que su música oficial regrese o cuánto tiempo permanecerá en la plataforma de redes sociales. Madeline Macrae, fan de Swift y creadora de TikTok, escuchó la noticia el jueves por la mañana e inmediatamente comenzó a buscar en TikTok y Google. para confirmar que no fue un engaño. «Estoy muy emocionada de recuperar ese catálogo y no tengo que depender de versiones aceleradas o editadas», dice. «Puedo usar su música real». Canciones como “Cruel Summer”, “Cardigan” y “Style (Taylor’s Version)” ahora pueden ser utilizadas por los creadores de contenido en la plataforma, como informó por primera vez Variety. Además de estar entusiasmado con el uso de canciones de Swift en nuevos videos, Macrae está agradecida de que la música de la megaestrella del pop esté potencialmente activada para sus videos anteriores en TikTok. «Estaba yendo y viniendo para eliminarlos o conservarlos, porque parecen un poco tontos silenciados», dice. Cuando la música de UMG se retiró inicialmente de la biblioteca de TikTok en enero, muchos creadores se sorprendieron al ver que su archivo de videos anteriores con ciertas canciones se silenciaba de la noche a la mañana. ¿Significa esto que el álbum The Tortured Poets Department estará disponible para usar en videos en TikTok? Es incierto, pero Macrae tiene esperanzas: «Creo que este movimiento también muestra el poder de Taylor Swift». Billie Eilish, otra artista importante de UMG, pronto promocionará su próximo álbum, Hit Me Hard and Soft de May, pero los fanáticos de Eilish tendrán que esperar para ver si su música también regresa a TikTok antes de su lanzamiento. La mayoría de los artistas de UMG han estado ausentes TikTok durante casi 10 semanas, cambiando en gran medida la experiencia del usuario en la plataforma de redes sociales y abriendo la puerta para que artistas que no pertenecen a UMG, como Beyoncé, se vuelvan virales con el algoritmo de TikTok. Sigue siendo un misterio cuándo se resolverá la disputa contractual de larga data entre TikTok y UMG llegará a una resolución. Como una de las compañías discográficas más grandes del mundo, la eliminación de canciones de UMG de TikTok ha impactado las carreras de muchos artistas consagrados, así como de estrellas en ascenso. Varios artistas expresaron su frustración por la medida, a menudo citando planes de marketing interrumpidos o un menor alcance de audiencia. Un portavoz de UMG no respondió de inmediato a una solicitud de comentarios. No importa lo que suceda eventualmente entre las dos compañías, Swifties en TikTok se sienten agradecidos por el regreso de su música mientras se preparan para las fiestas de escucha para celebrar el nuevo álbum. «Ya conozco mis planes para el viernes por la noche», dice Macrae. “Quedarme con amigos, beber un poco de vino y simplemente escuchar este álbum”. Suena como una noche de verdaderas redes sociales.
Las básculas inteligentes Withings son el estándar de oro. Si puede permitirse el lujo de adquirir uno de su nueva línea, lanzada el año pasado (Body Scan, Body Comp y Body Smart), no hay mejor opción disponible. Pero el problema es que son caros y no suelen salir a la venta. Por eso ahora es un buen momento para comprar. Withings tiene rebajada su nueva línea hasta el 17 de abril. Si no sabes qué modelo elegir, echa un vistazo a nuestro artículo sobre qué báscula inteligente Withings comprar. Para obtener las ofertas, deberá ir al sitio de Withings en los EE. UU. o Withings en el Reino Unido y registrarse o iniciar sesión. Luego podrá acceder a la oferta de Withings Days. Aquí están las mejores ofertas. Body Scan Obtenga $40 de descuento en Body Scan Obtenga £40 de descuento en Body Scan El Body Scan es el modelo insignia de Withings y es, al menos en esta etapa, la báscula inteligente definitiva. Le brinda mucho más que datos de condición física. También le informará sobre su salud. Además de todas las mediciones corporales esperadas (% de grasa, masa muscular y ósea, % de agua, índice de grasa visceral, IMC, TMB, frecuencia cardíaca en reposo y edad metabólica), además de información detallada sobre la salud del corazón y los datos sobre la salud de los nervios, el Body Scan ofrece una composición corporal segmentaria: gracias al mango retráctil que cuenta con más electrodos, puede brindarle el porcentaje de grasa y músculo en sus brazos, piernas y torso, mientras que otras básculas solo pueden ofrecerle porcentajes de composición corporal general. Puede obtener más información en nuestra revisión de Body Scan. El Body Scan suele tener un precio de $ 399,95/£ 349,95, pero puedes comprarlo en oferta por $ 359,95 en los EE. UU. y £ 309,95 en el Reino Unido, lo que te permitirá ahorrar $/£ 40. Dominik Tomaszewski / Foundry Dominik Tomaszewski / Foundry Dominik Tomaszewski / Foundry Body Comp Obtenga $40 de descuento en Body Comp Obtenga £40 de descuento en Body Comp Body Comp es la escala de rango medio en la nueva línea Withings, pero según los estándares de cualquier otra marca , es un kit de lujo. Obtendrá todas las mediciones que necesita (% de grasa, masa muscular y ósea, % de agua, índice de grasa visceral, IMC, TMB, frecuencia cardíaca en reposo y edad metabólica), además de una edad vascular, para brindar más información sobre la salud del corazón. y una puntuación de salud nerviosa. Hay más información en nuestra revisión de Body Comp. El Body Comp normalmente cuesta $189.95/£179.95 pero puedes comprarlo en oferta por $149.95 en los EE. UU. o £139.95 en el Reino Unido para un ahorro del 21%. También hay ofertas en el Body Smart, más económico (cómprelo en EE. UU. o el Reino Unido) y los nuevos modelos Scanwatch Light de Withings (EE. UU. y Reino Unido).
La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) dijo hoy que está investigando una violación en la empresa de inteligencia empresarial Sisense, cuyos productos están diseñados para permitir a las empresas ver el estado de múltiples servicios en línea de terceros en un solo panel. CISA instó a todos los clientes de Sisense a restablecer todas las credenciales y secretos que puedan haber sido compartidos con la empresa, que es el mismo consejo que Sisense dio a sus clientes el miércoles por la noche. Sisense, con sede en la ciudad de Nueva York, tiene más de 1.000 clientes en una variedad de sectores verticales, incluidos servicios financieros, telecomunicaciones, atención médica y educación superior. El 10 de abril, el director de seguridad de la información de Sisense, Sangram Dash, dijo a los clientes que la empresa había tenido conocimiento de informes de que «cierta información de la empresa de Sisense puede haber estado disponible en lo que nos han informado que es un servidor de acceso restringido (que generalmente no está disponible en Internet). .)” “Estamos tomando este asunto en serio y comenzamos rápidamente una investigación”, continuó Dash. “Contratamos a expertos líderes de la industria para que nos ayudaran con la investigación. Este asunto no ha resultado en una interrupción de nuestras operaciones comerciales. Por precaución, y mientras continuamos investigando, le instamos a rotar de inmediato cualquier credencial que utilice en su aplicación Sisense”. En su alerta, CISA dijo que estaba trabajando con socios de la industria privada para responder a un compromiso reciente descubierto por investigadores de seguridad independientes que involucran a Sisense. «CISA está asumiendo un papel activo en la colaboración con socios de la industria privada para responder a este incidente, especialmente en lo que se refiere a las organizaciones del sector de infraestructura crítica afectadas», se lee en la escasa alerta. «Proporcionaremos actualizaciones a medida que haya más información disponible». Sisense se negó a hacer comentarios cuando se le preguntó sobre la veracidad de la información compartida por dos fuentes confiables con conocimiento cercano de la investigación de la violación. Esas fuentes dijeron que la violación parece haber comenzado cuando los atacantes de alguna manera obtuvieron acceso al repositorio de código de la compañía en Gitlab, y que en ese repositorio había un token o credencial que les dio a los malos acceso a los depósitos Amazon S3 de Sisense en la nube. Ambas fuentes dijeron que los atacantes utilizaron el acceso a S3 para copiar y exfiltrar varios terabytes de datos de clientes de Sisense, que aparentemente incluían millones de tokens de acceso, contraseñas de cuentas de correo electrónico e incluso certificados SSL. Los clientes pueden usar Gitlab como una solución alojada en la nube en Gitlab.com o como una implementación autoadministrada de Gitlab. KrebsOnSecurity entiende que Sisense estaba usando la versión autoadministrada de Gitlab. El incidente plantea dudas sobre si Sisense estaba haciendo lo suficiente para proteger los datos confidenciales que le confiaron los clientes, como por ejemplo si el enorme volumen de datos robados de los clientes alguna vez fue cifrado mientras estaba en reposo en estos servidores en la nube de Amazon. Sin embargo, está claro que los atacantes desconocidos ahora tienen todas las credenciales que los clientes de Sisense utilizaron en sus paneles. La infracción también deja en claro que Sisense está algo limitado en las acciones de limpieza que puede tomar en nombre de los clientes, porque los tokens de acceso son esencialmente archivos de texto en su computadora que le permiten permanecer conectado durante períodos prolongados de tiempo, a veces de forma indefinida. . Y dependiendo de qué servicio estemos hablando, es posible que los atacantes reutilicen esos tokens de acceso para autenticarse como víctima sin tener que presentar credenciales válidas. Más allá de eso, depende en gran medida de los clientes de Sisense decidir si cambian las contraseñas de los diversos servicios de terceros que previamente han confiado a Sisense y cuándo. Hoy temprano, una firma de relaciones públicas que trabaja con Sisense se acercó para saber si KrebsOnSecurity planeaba publicar más actualizaciones sobre su violación (KrebsOnSecurity publicó una captura de pantalla del correo electrónico del cliente del CISO tanto en LinkedIn como en Mastodon el miércoles por la noche). El representante de relaciones públicas dijo que Sisense quería asegurarse de que tuvieran la oportunidad de comentar antes de que se publicara la historia. Pero cuando se enfrentó a los detalles compartidos por mis fuentes, Sisense aparentemente cambió de opinión. «Después de consultar con Sisense, me dijeron que no desean responder», dijo el representante de relaciones públicas en una respuesta enviada por correo electrónico. Nicholas Weaver, investigador del Instituto Internacional de Ciencias de la Computación (ICSI) de la Universidad de California en Berkeley y profesor de la UC Davis, dijo que una empresa a la que se le han confiado tantos inicios de sesión confidenciales debería cifrar esa información. «Si alojan datos de clientes en un sistema de terceros como Amazon, será mejor que estén cifrados», dijo Weaver. “Si le dicen a la gente que restablezca sus credenciales, eso significa que no estaban cifradas. Entonces, el error número uno es dejar las credenciales de Amazon en su archivo Git. El error número dos es usar S3 sin usar cifrado encima. Lo primero es malo pero perdonable, pero lo segundo, dado su negocio, es imperdonable”. Actualización, 6:49 pm, ET: Se agregó una aclaración de que Sisense está usando una versión autohospedada de Gitlab, no la versión en la nube administrada por Gitlab.com. Además, CISO Dash de Sisense acaba de enviar una actualización directamente a los clientes. El último consejo de la compañía es mucho más detallado e implica restablecer una cantidad potencialmente grande de tokens de acceso en múltiples tecnologías, incluidas las credenciales de Microsoft Active Directory, las credenciales de GIT, los tokens de acceso web y cualquier secreto o token de inicio de sesión único (SSO). . El mensaje completo de Dash a los clientes se encuentra a continuación: “Buenas tardes. Estamos dando seguimiento a nuestra comunicación anterior del 10 de abril de 2024, con respecto a los informes de que cierta información de la empresa Sisense puede haber estado disponible en un servidor de acceso restringido. Como se señaló, nos estamos tomando este asunto en serio y nuestra investigación continúa. Nuestros clientes deben restablecer cualquier clave, token u otra credencial en su entorno utilizada dentro de la aplicación Sisense. Específicamente, debe: – Cambiar su contraseña: cambiar todas las contraseñas relacionadas con Sisense en http://my.sisense.com – Sin SSO: – Reemplazar el secreto en la sección Seguridad de configuración base con su GUID/UUID. – Restablecer contraseñas para todos los usuarios en la aplicación Sisense. – Cierre la sesión de todos los usuarios ejecutando GET /api/v1/authentication/logout_all en Usuario administrador. – Inicio de sesión único (SSO): – Si utiliza SSO JWT para la autenticación del usuario en Sisense, deberá actualizar sso.shared_secret en Sisense y luego usar el valor recién generado en el lado del controlador de SSO.– Recomendamos encarecidamente rotar el certificado x.509 para su proveedor de identidad SSO SAML.– Si utiliza OpenID, es imperativo gire también el secreto del cliente. – Después de estos ajustes, actualice la configuración de SSO en Sisense con los valores revisados. – Cierre sesión en todos los usuarios ejecutando GET /api/v1/authentication/logout_all en Usuario administrador. – Credenciales de la base de datos del cliente: restablezca las credenciales en su base de datos que se utilizó en la aplicación Sisense para garantizar la continuidad de la conexión entre los sistemas. – Modelos de datos: cambie todos los nombres de usuario y contraseñas en la cadena de conexión de la base de datos en los modelos de datos. – Parámetros de usuario: si está utilizando la función Parámetros de usuario, restablecerlos.– Active Directory/LDAP: cambie el nombre de usuario y la contraseña de usuario de los usuarios cuya autorización se utiliza para la sincronización de AD.– Autenticación HTTP para GIT: rote las credenciales en cada proyecto GIT.– Clientes B2D: utilice la siguiente API PATCH api/ v2/b2d-connection en la sección de administración para actualizar la conexión B2D.– Aplicaciones Infusion: gire las claves asociadas.– Token de acceso web: gire todos los tokens.– Servidor de correo electrónico personalizado: gire las credenciales asociadas.– Código personalizado: restablezca los secretos que aparecen en cuadernos de códigos personalizados. Si necesita ayuda, envíe un ticket de atención al cliente en https://community.sisense.com/t5/support-portal/bd-p/SupportPortal y márquelo como crítico. Contamos con un equipo de respuesta dedicado en espera para ayudarlo con sus solicitudes. En Sisense damos suma importancia a la seguridad y estamos comprometidos con el éxito de nuestros clientes. Gracias por su colaboración y compromiso con nuestra seguridad mutua. Saludos, Director de seguridad de la información de Sangram Dash” URL de la publicación original: https://krebsonsecurity.com/2024/04/why-cisa-is-warning-cisos-about-a-breach-at-sisense/Categoría y etiquetas: Un poco Sunshine,violaciones de datos,la tormenta que viene,Nicholas Weaver,Sangram Dash,violación de Sisense,Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. Agencia
rob dobi/Getty Images Si tiene muchos clientes con los que necesita comunicarse en relación con una comunicación importante, como una violación de datos, puede ser una buena idea organizar esas comunicaciones durante varios días en lugar de hacerlo todo a la vez. sin embargo, uno de los mayores proveedores de servicios inalámbricos de EE. UU. hizo precisamente eso: los envió todos a la vez. El 11 de abril, AT&T envió un correo electrónico a más de 70 millones de sus clientes afectados por una filtración de datos revelada por la compañía el 30 de marzo. Además: AT&T restablece las contraseñas de 7,6 millones de clientes después de una filtración de datos. Lo que dicen los expertos En el correo electrónico, enviado a las 3:23 pm ET, presumiblemente enviado a decenas de millones de sus clientes, AT&T dice que una infracción (que revelaron en un correo electrónico anterior el 30 de marzo) comprometió la información del cliente. Sin embargo, los detalles financieros y el historial de llamadas permanecieron seguros. En respuesta, la compañía está restableciendo las contraseñas de las cuentas y ofrece un año de monitoreo de crédito gratuito y protección contra el robo de identidad a través del servicio IdentityWorks de Experian. Experian es una gran agencia global de informes crediticios que proporciona datos y herramientas analíticas para el monitoreo de crédito y fraude, al servicio tanto de individuos como de empresas. Jason Perlow/ZDNET En el correo electrónico, AT&T proporciona un código de suscripción gratuito y un enlace al sitio web de Experian para la inscripción. Cuando intentamos inscribirnos, notamos que el servidor funcionaba extremadamente lento y también devolvía errores HTTP 500, probablemente debido a los altos niveles de tráfico redirigido desde el correo electrónico de AT&T a sus clientes. También notamos que los inicios de sesión con credenciales por SMS dejaron de funcionar a través de la aplicación móvil de Experian. Código de error del sitio web de Experian. Jason Perlow/ZDNET La oferta de suscripción es genuina y finalmente pudimos iniciar sesión después de varios minutos. Aún así, el rendimiento fue terriblemente lento y nos tomó más de media hora agregar la información de nuestra cuenta para monitorear, experimentando múltiples tiempos de espera de HTTP en el camino. Portal de obras de identificación de Experian. Jason Perlow/ZDNETEl pico de tráfico en Experian fue confirmado por el servicio Downdetector, mostrando un aumento masivo en los informes de los usuarios alrededor de las 5 p.m. ET. Informes de tiempo de inactividad de los usuarios de Experian en Downdetector Jason Perlow/ZDNET En Twitter, a las 4:54 pm ET, Experian señaló en X que su sitio web se había estabilizado. Sin embargo, a las 6 p.m. ET, el sitio seguía sin responder. Estén atentos a ZDNET para conocer las últimas actualizaciones sobre la situación.