Qantas dice que cuando CyberCrooks atacó una «plataforma de terceros» utilizada por los sistemas de centro de contacto de la aerolínea, accedieron a la información personal y al número frecuente de los volantes de la «mayoría» de las personas de alrededor de 5.7 millones de personas afectadas. La aerolínea Aussie dijo hoy que esta información personal incluye nombres y/o direcciones de correo electrónico, y advirtió los números de volantes frecuentes, los niveles de clientes, los créditos de estado y los saldos de puntos también podrían verse comprometidos. En una «minoría» del número total de casos, según los informes, hasta un millón de personas, también se revelaron otros puntos de datos. Estos incluyen: Direcciones físicas (direcciones residenciales y direcciones comerciales, incluidos hoteles para entrega de equipaje fuera de lugar) Fechas de números de teléfono de nacimiento Las preferencias de las comidas sin duda esperaban mitigar las preocupaciones sobre la exposición de direcciones físicas, la aerolínea dijo que sus investigaciones mostraron que muchas de ellas tenían años de edad y potencialmente desactualizadas, mientras que otros solo se completaron parcialmente (solo por correo postales). Qantas dijo a Reuters que los 5,7 millones de clientes afectados por su robo, el nombre, el número de teléfono y/o la dirección física de alrededor de 1 millón fueron accedidos por los delincuentes, mientras que para la mayor parte de los clientes, 4 millones, «solo» se accedió a su nombre y dirección de correo electrónico. En cuanto a los 700k restantes, el registro preguntó a la aerolínea sobre eso, pero no respondió de inmediato. Los clientes de 15 años o más serán notificados directamente de cómo se afectaron exactamente sus datos, dijo Qantas. Aquellos registrados en el programa de volantes frecuentes de la aerolínea también podrán ver sus tipos de datos afectados a través de la página de su cuenta como parte de una nueva característica que se lanzará a finales de esta semana. Qantas aseguró a aquellos debido a viajar en sus vuelos que no necesitan hacer nada de manera diferente, pero advirtió a los afectados que estén más atentos a las estafas, los intentos de phishing y similares. «Hemos aumentado los recursos en nuestros centros de contacto y tenemos una línea de soporte dedicada para apoyar a nuestros clientes», afirma su sitio web. «Se han implementado medidas de seguridad adicionales para restringir aún más el acceso y fortalecer el monitoreo y la detección del sistema. Esto incluye medidas de seguridad adicionales para cuentas de volantes frecuentes de Qantas para protegerlas aún más del acceso no autorizado, incluida la requerencia de identificación adicional para los cambios en la cuenta». La aerolínea agregó que no es consciente de que los delincuentes liberan datos de clientes en la web oscura, pero está monitoreando activamente si eso cambia. Qantas no ha confirmado qué tipo de ataque fue esto, si se trataba de una toma de datos de juego puro o si el ransomware y/o la extorsión estaban involucrados. En su página de preguntas frecuentes, dijo que sus sistemas de TI son seguros de usar: «Tomamos medidas inmediatas y contenimos el sistema, y los sistemas Qantas permanecen seguros». No se confirma nada con respecto a quién estaba detrás del ataque, pero el ruptura en Qantas siguió incursiones similares en otras aerolíneas como Hawai y WestJet, lo que llevó a los expertos a emitir advertencias sobre el aparente cambio de tachuelas de Spider dispersas. ® URL de publicación original: https://go.theregister.com/feed/www.theregister.com/2025/07/09/qantas_begins_telling_customers_data/
Etiqueta: La seguridad del registro
Una misteriosa pieza de código «en desarrollo» está jugando estragos con el firewall de Windows después de la última actualización de vista previa para Windows 11 24h2. El problema se manifiesta como un error en el visor de eventos para el firewall de Windows con seguridad avanzada y puede ocurrir después de la instalación de la actualización previa de vista previa de Windows sin seguridad de junio de junio 2025. Microsoft está a punto de retirar el acceso de salida predeterminado para máquinas virtuales en Azure Leer más en la última entrada en el Salón de la vergüenza de Windows 11 24h2, también conocido como el Panel de Salud de la Lanzamiento de Microsoft, la compañía explicó: «El evento aparece como ‘Config Read Faily’ con Mensaje ‘Más datos están disponibles». «Aunque este evento se registra en el visor de eventos cada vez que se reinicia el dispositivo, no reflejan un problema con Windows Firewall y se puede ignorar». Entonces, ahí tienes. [sic] este evento «. El registro de eventos también se usa para monitorear la salud de los dispositivos de Windows, por lo que los errores espurios, incluso los que pueden ser ignorados, será un dolor de cabeza. El código de trabajo en progreso en una aplicación que, en teoría, nunca puede ser accedido por los usuarios finales de la primera piedra. Dijo: «Estamos trabajando en una resolución y proporcionaremos una actualización en un próximo lanzamiento». ® URL de publicación original: https://go.theeregister.com/feed/www.theregister.com/2025/07/03/microsoft_windows_firewall_error/
Entrevista El Congreso está reflexionando sobre una legislación que exigirá que ByteDance, la empresa matriz china de TikTok, corte sus vínculos con la megaaplicación para compartir vídeos, o la red social será prohibida en Estados Unidos. El proyecto de ley fue aprobado por la Cámara y ahora se encuentra ante el Senado. En una entrevista que puede ver a continuación, la ex directora de información de la Casa Blanca, Theresa Payton, dijo a The Register que la industria tecnológica debería comenzar a prepararse para una prohibición, dados los plazos involucrados y los indicios de que China bloqueará la desinversión de TikTok. “Tan pronto como el presidente promulgue este proyecto de ley, y si se aprueba tal como está escrito… habrá 180 días” para que ByteDance se deshaga de TikTok, explicó Payton. «No sé ustedes, pero se me ocurren muy pocas transacciones importantes que puedan ocurrir en 180 días». «Si estuviera asesorando a algunos de los ISP más grandes, Apple, Google y otros… tendrían que estar imaginando el peor escenario de lo que significa un cierre», dijo Payton. «Esto no tiene precedentes». Los proveedores de conectividad a Internet podrían verse obligados a bloquear el tráfico a la filial ByteDance, los propietarios de las tiendas de aplicaciones probablemente tendrán que tomar medidas y es posible que se requiera que las redes sociales rivales impidan el intercambio de videos de TikTok. Más allá de eso, Payton advierte que China –que ya prohíbe muchas plataformas de redes sociales occidentales, incluido Facebook– podría decidir adoptar una línea más dura con las empresas con sede en Estados Unidos que hacen negocios en el Reino Medio. “Elija una empresa ícono estadounidense que fabrique cosas en China. Podrían decir: «ya no puedes hacer negocios aquí y debes desinvertir». Aquí también hay una preocupación diplomática”, dijo Payton. Entre otras cosas que discutimos, Payton dijo que todo este asunto sería diferente si, como otras naciones, Estados Unidos tuviera una declaración de derechos de privacidad. Estados Unidos no tiene ninguna ley de ese tipo a nivel federal, y el intento más reciente fracasó y ardió. «Si tuviéramos… una declaración de derechos de privacidad donde se establecieran las barreras de seguridad, incluido el acceso internacional a los puntos de datos, esta conversación podría ser un poco diferente», nos dijo Payton, director ejecutivo de la firma de ciberseguridad Fortalice. «Me encantaría ver algo más acelerado en torno a eso». ® URL de publicación original: https://go.theregister.com/feed/www.theregister.com/2024/04/01/tiktok_ban_white_house/
Source link
Red Hat advirtió el viernes que una puerta trasera maliciosa encontrada en la biblioteca de software de compresión de datos xz, ampliamente utilizada, puede estar presente en instancias de Fedora Linux 40 y en la distribución para desarrolladores Fedora Rawhide. El gigante de TI dijo que el código malicioso, que parece proporcionar acceso remoto de puerta trasera a través de OpenSSH y al menos systemd, está presente en xz 5.6.0 y 5.6.1. La vulnerabilidad ha sido designada CVE-2024-3094. Tiene una calificación de 10 sobre 10 en gravedad CVSS. Los usuarios de Fedora Linux 40 pueden haber recibido 5.6.0, dependiendo del momento de las actualizaciones de su sistema, según Red Hat. Y los usuarios de Fedora Rawhide, la versión de desarrollo actual de lo que será Fedora Linux 41, pueden haber recibido 5.6.1. Fedora 40 y 41 aún no han sido lanzados oficialmente; La versión 40 saldrá el próximo mes. Los usuarios de otras distribuciones de Linux y sistemas operativos deben verificar qué versión de la suite xz tienen instalada. Las versiones infectadas, 5.6.0 y 5.6.1, se lanzaron el 24 de febrero y el 9 de marzo, respectivamente, y es posible que no se hayan incorporado a las implementaciones de muchas personas. Es posible que este compromiso de la cadena de suministro se haya detectado lo suficientemente temprano como para evitar una explotación generalizada, y es posible que solo afecte principalmente a las distribuciones de última generación que adoptaron las últimas versiones de xz de inmediato. Debian Unstable y Kali Linux han indicado que, al igual que Fedora, están afectados; Todos los usuarios deben tomar medidas para identificar y eliminar cualquier compilación de xz con puerta trasera. “POR FAVOR, DETENGA INMEDIATAMENTE EL USO DE CUALQUIER INSTANCIA DE CUERO CRUDO DE FEDORA para trabajo o actividad personal”, gritó hoy el aviso de la subsidiaria de IBM a los cuatro vientos. «Fedora Rawhide volverá a xz-5.4.x en breve y, una vez hecho esto, las instancias de Fedora Rawhide se podrán volver a implementar de forma segura». Red Hat Enterprise Linux (RHEL) no se ve afectado. El código malicioso en las versiones 5.6.0 y 5.6.1 de xz ha sido ofuscado, dice Red Hat, y sólo está completamente presente en el código fuente tarball. Los artefactos de la segunda etapa dentro del repositorio de Git se convierten en código malicioso a través de la macro M4 en el repositorio durante el proceso de compilación. La biblioteca xz envenenada resultante es utilizada involuntariamente por software, como systemd del sistema operativo, después de que la biblioteca se haya distribuido e instalado. El malware parece haber sido diseñado para alterar el funcionamiento de los demonios del servidor OpenSSH que emplean la biblioteca a través de systemd. «La compilación maliciosa resultante interfiere con la autenticación en sshd a través de systemd», explica Red Hat. «SSH es un protocolo comúnmente utilizado para conectarse de forma remota a sistemas y sshd es el servicio que permite el acceso». Esta interferencia de autenticación tiene el potencial de permitir que un malhechor rompa la autenticación sshd y obtenga de forma remota acceso no autorizado a un sistema afectado. En resumen, la puerta trasera parece funcionar así: las máquinas Linux instalan la biblioteca xz con puerta trasera (específicamente, liblzma) y esta dependencia, a su vez, es finalmente utilizada de alguna manera por el demonio OpenSSH de la computadora. En ese punto, la biblioteca xz envenenada puede entrometerse con el demonio y potencialmente permitir que un malhechor no autorizado inicie sesión de forma remota. Como lo expresó Red Hat: Una publicación en la lista de correo de seguridad de Openwall realizada por Andrés Freund, desarrollador y responsable de PostgreSQL, explora la vulnerabilidad con mayor detalle. La IA alucina paquetes de software y los desarrolladores los descargan LEER MÁS “La puerta trasera inicialmente intercepta la ejecución reemplazando los solucionadores ifunc crc32_resolve(), crc64_resolve() con un código diferente, que llama a _get_cpuid(), inyectado en el código (que anteriormente sería solo estático en línea). funciones). En xz 5.6.1, la puerta trasera se ofuscó aún más y se eliminaron los nombres de los símbolos”, explica Freund, con la salvedad de que no es un investigador de seguridad ni un ingeniero inverso. Freund especula que el código «parece probable que permita alguna forma de acceso u otra forma de ejecución remota de código». El nombre de la cuenta asociado con las confirmaciones infractoras, junto con otros detalles como la hora en que se realizaron esas confirmaciones, ha llevado a especular que el autor del código malicioso es un atacante sofisticado, posiblemente afiliado a una agencia de un estado-nación. La Agencia de Seguridad de Infraestructura y Ciberseguridad del gobierno de EE. UU. (CISA) ya ha emitido un aviso aquí. ® URL de publicación original: https://go.theregister.com/feed/www.theregister.com/2024/03/29/malicious_backdoor_xz/
Source link
Joshua Schulte, un ex empleado de la CIA e ingeniero de software acusado de compartir material con WikiLeaks, fue sentenciado el jueves a 40 años de prisión por el Distrito Sur de Nueva York, Estados Unidos. Schulte fue condenado por delitos como espionaje, piratería informática, desacato al tribunal, declaraciones falsas al FBI y material de abuso sexual infantil, tras condenas decididas en marzo de 2020, julio de 2022 y septiembre de 2023. Además de la pena de prisión, Schulte, que tiene 35 años, fue sentenciado a cadena perpetua bajo supervisión tras su eventual liberación. «El robo de Schulte es la mayor violación de datos en la historia de la CIA, y su transmisión de esa información robada a WikiLeaks es una de las mayores revelaciones no autorizadas de información clasificada en la historia de Estados Unidos», declaró el tribunal. Schulte supuestamente robó los archivos que se conocerían como la filtración del Vault 7 en abril de 2016 mientras trabajaba en el Centro de Inteligencia Cibernética (CCI), una división de la CIA que lleva a cabo operaciones cibernéticas ofensivas. Luego supuestamente transfirió esos archivos a Wikileaks usando herramientas anónimas como el sistema operativo Tails basado en Linux y el navegador Tor antes de borrar y reformatear los discos duros internos de su computadora personal. Los archivos que compartió comenzaron a aparecer en Wikileaks casi un año después, en marzo de 2017. Detallaban cómo la CIA llevaba a cabo la vigilancia de gobiernos extranjeros y supuestas organizaciones terroristas, principalmente mediante piratería informática y tácticas como certificados digitales falsificados. Las acusaciones de material de abuso sexual infantil surgieron después de que el FBI registró la casa de Schulte en marzo de 2017 y afirmó haber encontrado material francamente vil que contaba aproximadamente 3.400 imágenes y videos. Schulte tiene reputación de ser un personaje difícil y su abogado argumentó en su juicio de marzo de 2020 que ser odiado por casi todos en el trabajo lo convertía en un gran chivo expiatorio. Mientras tanto, mientras estaba en la cárcel, supuestamente envió a los periodistas información clasificada y libró lo que llamó una “guerra de información”. Como si Schulte necesitara demostrar aún más lo desagradable que podía ser, en sus comentarios finales se dice que comparó su difícil situación con la de figuras como Nelson Mandela. Estableció paralelos entre las prisiones de Nueva York y Auschwitz, y afirmó haber “sido peor torturado que cualquier otro prisionero en el hemisferio occidental”. “Cualquier comparación con los campos de concentración nazis me resulta ofensiva. Su único delito fue ser judío”, respondió el juez de distrito estadounidense Jesse Furman. El juez Furman, por su parte, afirmó que no era exagerado referirse a los crímenes de Schulte como un “Pearl Harbor digital”, con un impacto en la seguridad nacional medido en más de 300 millones de dólares. ® URL de publicación original: https://go.theregister.com/feed/www.theregister.com/2024/02/02/vault_7_wikileaks_leaker_joshua/
Source link
Interpol arrestó a 31 personas luego de una operación de tres meses para erradicar diversos tipos de delitos cibernéticos. La Operación Synergia, que abarca 55 países, desde Albania hasta Australia, identificó más de 1300 servidores maliciosos y desmanteló más del 70 por ciento de los utilizados como parte de la infraestructura de comando y control (C2) que respaldaba el phishing, el malware bancario y el ransomware. El resto aún está bajo investigación. La mayoría de los derribos de C2 se realizaron en Europa, aunque no dijo dónde exactamente. La gran mayoría de las detenciones, 26 de un total de 31, también se realizaron en el continente, mientras que las autoridades de Sudán del Sur y Zimbabue «esposaron a otras cuatro». Otros 70 sospechosos están en el punto de mira de Interpol tras la operación en la que participaron 60 agencias policiales diferentes que registraron 30 propiedades. Interpol dijo que la Operación Sinergia se lanzó después de observar un “claro crecimiento, escalada y profesionalización del cibercrimen transnacional”, y agregó que este crecimiento es lo que requería una acción coordinada. «Los resultados de esta operación, logrados gracias a los esfuerzos colectivos de múltiples países y socios, muestran nuestro compromiso inquebrantable con la salvaguardia del espacio digital», dijo Bernardo Pillot, subdirector de la Dirección de Delitos Cibernéticos de Interpol. «Al desmantelar la infraestructura detrás de los ataques de phishing, malware bancario y ransomware, estamos un paso más cerca de proteger nuestros ecosistemas digitales y brindar una experiencia en línea más segura para todos». Interpol contó con el apoyo de varios actores del sector privado, como Group-IB, con sede en Singapur, que compartió información que incluía más de 500 direcciones IP relacionadas con phishing y más de 1.900 con enlaces a actividades de ransomware. Kaspersky, TrendMicro, Shadowserver y Team Cymru también apoyaron sus esfuerzos de recopilación de inteligencia. «La Operación Synergia ha demostrado que la sinergia entre las fuerzas policiales globales, las fuerzas policiales cibernéticas nacionales y el sector privado es primordial», dijo Dmitry Volkov, director ejecutivo y cofundador de Group-IB. “Juntos, forjamos un frente colectivo, compartiendo ciberinteligencia y mejores prácticas para luchar contra el ciberdelito. Este enfoque destaca el papel fundamental que desempeña la colaboración y el intercambio eficaz de datos en la reducción del impacto global del delito cibernético”. La noticia llega inmediatamente después de la reciente Operación Turquesa V de Interpol en las Américas, en la que cientos de personas fueron arrestadas como parte de la represión de las autoridades contra la trata de personas con el fin de llenar los centros de llamadas fraudulentas. América del Sur y Medio Oriente se han convertido en focos de actividad criminal, mientras que históricamente el Sudeste Asiático estuvo en el centro de este tipo de esclavitud moderna. La operación en América siguió de cerca a esfuerzos similares en Asia, África y Medio Oriente, denominada Operación Storm Makers II, que se estaba ejecutando simultáneamente con la Operación Synergia. A lo largo de cinco meses, se realizaron cientos de arrestos y se recopiló información de inteligencia que mejoró la comprensión de las autoridades sobre el vínculo de la trata de personas con los centros de llamadas fraudulentos. India, por ejemplo, registró recientemente su primer caso y gracias a Interpol, un niño de 13 años de Bangladesh fue rescatado del país. Fue sólo una de las casi 800 víctimas que fueron interceptadas en los puestos de control fronterizos durante la operación. ® URL de la publicación original: https://go.theregister.com/feed/www.theregister.com/2024/02/02/interpols_latest_cybercrime_intervention_dismantles/
Source link