Infosec en resumen Casi la mitad de los ciudadanos de Francia han visto sus datos expuestos en una brecha de seguridad masiva en dos servicios de pagos de atención médica de terceros, reveló la semana pasada el organismo francés de vigilancia de la privacidad de datos. Las empresas de pagos Viamedis y Almerys sufrieron violaciones de sus sistemas a finales de enero, según reveló la Comisión Nacional de Informática y Libertad (CNIL), que provocaron el robo de datos pertenecientes a más de 33 millones de clientes. Los datos afectados sobre los clientes y sus familias incluyen fechas de nacimiento, estado civil, números de seguro social e información del seguro. Ninguna información bancaria, médica o de contacto fue comprometida, añadió la CNIL. «Esta es la primera vez que hay una violación de esta magnitud. [in France]», dijo Yann Padova, abogado de protección de datos digitales y ex secretario general de la CNIL a la cadena de radio francesa Franceinfo. Padova cree que la violación es la mayor en la historia de Francia. Según se informa, Viamedis se vio comprometida a través de un ataque de phishing dirigido a profesionales de la salud y utilizó credenciales robadas. de dichos profesionales para obtener acceso a sus sistemas. Almerys no reveló cómo ocurrió su compromiso, pero es posible que el ingreso fuera de naturaleza similar: admitió que el atacante obtuvo acceso a través de un portal utilizado por proveedores de atención médica. La CNIL dijo que está trabajando con Viamedis y Almerys para garantizar que los afectados estén informados (como exige el Reglamento general de protección de datos de la UE), pero probablemente llevará algún tiempo hacer correr la voz a casi la mitad del país. Mientras tanto, los funcionarios franceses advierten que Los datos robados podrían combinarse con datos de otras violaciones para ser utilizados en ataques de phishing o esquemas de ingeniería social. Se ha abierto una investigación, dijo la CNIL, para determinar si alguna de las organizaciones es culpable de la violación. Según se informa, Juniper filtra información de clientes El negocio de redes Juniper supuestamente filtró información sobre los dispositivos que poseían sus clientes, según un informe de Krebs on Security. La fuente de la filtración fue el portal de soporte de Juniper, que aparentemente fue encontrado por un pasante de 17 años para permitir búsquedas del nombre de cualquier cliente y luego producir una lista de dispositivos que habían adquirido y registrado en Juniper. Juniper solucionó la falla, que parece deberse a una configuración incorrecta del Salesforce SaaS que utiliza para impulsar su sitio de soporte. – Simon Sharwood Vulnerabilidades críticas de la semana Cisco advierte sobre algunas vulnerabilidades graves de falsificación de solicitudes entre sitios en sus dispositivos de la serie Expressway que podrían brindarle a un atacante la capacidad de realizar acciones arbitrarias en los dispositivos comprometidos. Hay tres CVE de los que preocuparse: CVE-2024-20252, CVE-2024-20254 y CVE-2024-20255, todos los cuales afectan la API del hardware de colaboración. «Estas vulnerabilidades se deben a protecciones CSRF insuficientes para la interfaz de administración basada en web de un sistema afectado», explicó Cisco. Hay parches disponibles, así que instálelos en los dispositivos Expressway-C y Expressway-E. En otros lugares: CVSS 9.8 – Múltiples CVE: ProPump y Controls El software Osprey Pump Controller anterior a la versión 20230518 se ve afectado por una gran cantidad de vulnerabilidades que podrían otorgarle a un atacante control administrativo. En noticias sobre vulnerabilidades explotadas conocidas: CVSS 10.0 – CVE-2023-22527: Los investigadores de seguridad de Arctic Wolf dicen que la explotación de las vulnerabilidades del servidor Atlassian Confluence reportadas anteriormente continúa, y los controladores del ransomware C3RB3R ahora intentan hacer uso de la falla de inyección de plantilla. CVSS 8.8 – CVE-2023-4762: un error conocido de confusión de tipos en el motor JavaScript V8 de Chromium (en versiones de Chrome anteriores a 116.0.5845.179) que se aprovechó anteriormente para instalar software espía Predator todavía se está explotando. No más trucos: Canadá quiere prohibir el Flipper Zero Los ciudadanos canadienses que quieran tener en sus manos el «dispositivo multiherramienta para geeks» conocido como Flipper Zero deberían actuar rápido: el gobierno quiere prohibirlos por miedo a Se utiliza para ayudar a los delincuentes a robar coches. El gobierno planea buscar «todas las vías para prohibir los dispositivos utilizados para robar vehículos copiando las señales inalámbricas para la entrada remota sin llave, como el Flipper Zero», declararon funcionarios de seguridad pública canadienses después de una cumbre esta semana sobre la lucha contra el robo de automóviles. El Flipper es una pieza de hardware interesante que puede hacer muchas cosas, pero cualquiera que esté familiarizado con este minúsculo dispositivo probablemente ya esté sacudiendo la cabeza ante la idea de que el dispositivo, con su antena sub-GHz, pueda ayudar a los delincuentes a robar autos. Sí, algunos modelos son vulnerables a que se detecten códigos de llaveros inalámbricos. Pero la mayoría de los coches modernos no pueden ser descifrados por el Flipper gracias al uso de códigos variables, es decir, suponiendo que estén implementados correctamente. Además, ¿por qué piratear un coche cuando puedes robar un Kia con fuerza bruta y un viejo cable USB? Hombre de Florida sentenciado por plan de robo de identidad en la web oscura… mientras ya estaba en prisión No, no lo atraparon con una pequeña caja de Linux ejecutando Tor desde debajo de su colchón. La larga trayectoria de Damien Dennis como estafador todavía lo está alcanzando. Dennis, que actualmente cumple 12 años de prisión por fraude bancario y robo de identidad agravado en Florida, se declaró culpable esta semana de cargos adicionales de robo de identidad agravado en Georgia que parecen estar relacionados con su condena anterior. Dennis fue sentenciado en Florida en 2022 por utilizar identificaciones falsas con información real para abrir cuentas bancarias y obtener préstamos fraudulentos, en un caso ganando 20.000 dólares en efectivo utilizando la identidad de otra persona. Sin embargo, Dennis no solo compró y usó PII robada: también la creó en perfiles para venderlos a otros delincuentes y ofreció orientación sobre cómo usar los expedientes dudosos para cometer fraude bancario. El Departamento de Justicia añadió dos años a la sentencia de Dennis por el problema y también le impuso una multa de 250.000 dólares. ®

Source link