Últimas noticias y artículos sobre ciberseguridad

---

El Método Posterior a La Explotación De Okta Expone Las Contraseñas De Los Usuarios

Los investigadores de Mitiga descubrieron que el sistema IAM guarda las contraseñas de los usuarios de Okta para auditar los registros si un usuario las escribe accidentalmente en el campo "nombre de usuario" al iniciar sesión, lo que permite a los actores de amenazas con acceso a un sistema de la empresa recopilarlas.

---

MITRE Lanza Prototipo de Seguridad de La Cadena de Suministro

La plataforma denominada Risk Model Manager (RMM) ahora está disponible para que las organizaciones evalúen el riesgo y la seguridad de la cadena de suministro, así como para ver, editar y personalizar el contenido del marco SoT, o exportarlo para usarlo como un marco de subconjunto.

---

Las instalaciones de CloudPanel utilizan la misma clave privada de certificado SSL

Solución de administración web autohospedada Se descubrió que CloudPanel tenía varios problemas de seguridad, incluido el uso de la misma clave privada del certificado SSL en todas las instalaciones y la sobrescritura involuntaria de las reglas del firewall para que la configuración predeterminada sea más débil.

---

Colaboración Sobre Autopreservación Destacada en la Última Guía de Supervisión Cibernética

La cuarta edición del Manual del Director sobre Supervisión de Riesgos Cibernéticos, publicado por la Asociación Nacional de Directores Corporativos y la Alianza de Seguridad de Internet, describe seis principios básicos "para la supervisión de la ciberseguridad por parte de la junta directiva.”

---

Blackguard stealer amplía sus capacidades en una nueva variante

Los investigadores de AT & T Alien Labs han descubierto una nueva variante de Blackguard stealer en estado salvaje, que infecta mediante ataques de spear phishing. La nueva variante intenta propagarse a través de medios extraíbles y dispositivos compartidos.

---

Sí, es una locura tener TikTok en teléfonos oficiales. Pero no es bueno para ninguno de nosotros | John Naughton

Los temores por la seguridad de los datos están detrás de las recientes prohibiciones gubernamentales sobre la aplicación de propiedad china, pero el desplazamiento de zombis también tiene peligros para la saludA partir de este momento, el gobierno los funcionarios de 11 países tienen prohibido ejecutar TikTok en sus teléfonos emitidos por el gobierno. Los países incluyen Estados Unidos, Canadá, Dinamarca, Bélgica, Reino Unido, Nueva Zelanda, Noruega, Francia, Países Bajos y Polonia. Además, el personal de la Comisión Europea y del Parlamento Europeo tuvo que eliminar la aplicación. Esto plantea dos preguntas. Primero, por qué los políticos y altos funcionarios de las democracias se desplazaban como zombis por las locuras de la danza, los videos de mascotas tontas, ¿te sientes "bonita" y cosas que puedes hacer con el lápiz labial manchado? Sigue leyendo...

---

Un ciberataque golpea a la farmacéutica española Alliance Healthcare

El incidente cibernético comenzó el 17 de marzo y ha llevado a un cierre completo del sitio web, los sistemas de facturación y los procesos de pedidos de la compañía. Durante los primeros días del ataque, la compañía permaneció paralizada.

---

Paquete Malicioso de Python Utiliza Trucos Unicode para Evadir la Detección y Robar Datos

El paquete en cuestión, llamado onyxproxy, se cargó en PyPI el 15 de marzo de 2023 y viene con capacidades para cosechar y exfiltrar credenciales y otros datos valiosos. Desde entonces, se ha eliminado, pero no antes de atraer 183 descargas.

---

TikTok prohibido en los dispositivos del Ayuntamiento de Londres por problemas de seguridad

La medida de la autoridad del Gran Londres se produce después de que la aplicación de propiedad china fuera bloqueada en los dispositivos parlamentarios del Reino Unido El personal del Ayuntamiento de Londres ya no tendrá TikTok en sus dispositivos en la última prohibición impuesta a la aplicación de redes sociales de propiedad china por motivos de seguridad. La autoridad del Gran Londres (GLA) dijo que la regla se implementó porque toma la seguridad de la información "extremadamente en serio". Sigue leyendo...

---

Una falla crítica en el marco de pruebas de IA MLflow puede comprometer el servidor y los datos

La vulnerabilidad encontrada por Dan McInerney se rastrea como CVE-2023-1177 y tiene una calificación de 10 (crítica) en la escala CVSS. Se describe como una inclusión de archivos local y remota (LFI/RFI) a través de la API.

---

Seguridad de drogas a base de corcho aterriza una inversión de $16 millones

La ronda de financiación de la Serie A fue liderada por Google Ventures (GV), con la participación de los inversores existentes Boldstart Ventures y Preface. La compañía planea utilizar parte de los fondos para expandir su equipo de ingeniería en Cork.

---

Nueva estafa de Instagram utiliza tarjetas de regalo falsas de SHEIN como señuelo

Esta estafa en las redes sociales comienza con un comentario de una cuenta aleatoria en la publicación de un usuario, que felicita a la víctima diciendo que es uno de los afortunados de 2023 seleccionados para recibir una tarjeta de regalo de SHEIN.

---

La Agencia Nacional del Crimen del Reino Unido Establece Sitios Falsos de DDoS a Sueldo para Atrapar a los Ciberdelincuentes

En lo que es un caso de configurar a un ladrón para atrapar a un ladrón, la Agencia Nacional del Crimen del Reino Unido (NCA) reveló que ha creado una red de sitios web falsos de DDoS a sueldo para infiltrarse en la clandestinidad criminal en línea. "Todos los sitios administrados por la NCA, a los que hasta ahora han accedido varios miles de personas, se han creado para que parezcan que ofrecen las herramientas y los servicios que permiten a los ciberdelincuentes

---

Legisladores de ambos partidos interrogaron al CEO de TikTok sobre si la aplicación de propiedad china puede proteger la privacidad estadounidense

El testimonio del CEO de TikTok, Shou Zi Chew, no pareció calmar muchas preocupaciones que los legisladores tenían sobre las conexiones de la compañía con China o la idoneidad de su plan de mitigación de riesgos, Project Texas.

---

Kroger Postal Prescription Services Presenta Aviso de Violación de Datos que Afecta a 82,466 Consumidores

Al descubrir que los datos confidenciales de los consumidores estaban disponibles para una parte no autorizada, Kroger Postal Prescription Services comenzó a revisar los archivos afectados para determinar qué información se vio comprometida y qué consumidores se vieron afectados.

---

Britive, que ayuda a proteger las nubes públicas, consigue una inversión de 20,5 millones de dólares

Dirigido por Pelion Venture Partners con la participación de Liberty Global Ventures, Crosslink Capital y One Way Ventures, el nuevo lleva el total recaudado de Britive a $36 millones.

---

Pwn2Own Vancouver 2023 Día 2: Microsoft Teams, Oracle VirtualBox y Tesla hackeados

En el segundo día de Pwn2Own Vancouver 2023, los cazadores de errores demostraron ataques de día cero contra la plataforma de virtualización Oracle VirtualBox, Microsoft Teams, Tesla Model 3 y el sistema operativo de escritorio Ubuntu.

---

Microsoft advierte sobre la Vulnerabilidad Sigilosa de Outlook Explotada por Piratas Informáticos Rusos

Microsoft compartió el viernes una guía para ayudar a los clientes a descubrir indicadores de compromiso (IOC) asociados con una vulnerabilidad de Outlook recientemente parcheada. Rastreado como CVE-2023 - 23397 (puntaje CVSS: 9.8), el defecto crítico se relaciona con un caso de escalada de privilegios que podría explotarse para robar hashes de NT Lan Manager (NTLM) y organizar un ataque de retransmisión sin requerir ninguna interacción del usuario. "Externo

---

Pwn2Own Vancouver 2023 Día 1: Windows 11 y Tesla hackeados

El Pwn2Own Vancouver 2023 ha comenzado, esta competencia de piratería tiene 19 entradas dirigidas a nueve objetivos diferentes, incluidos dos intentos de Tesla. El primer día, otorgó $375,000 (y un Tesla Model 3) por 12 vulnerabilidades de día cero descubiertas.

---

OpenAI Revela un Error de Redis Detrás Del Incidente de Exposición de Datos de Usuario de ChatGPT

OpenAI reveló el viernes que un error en la biblioteca de código abierto de Redis fue responsable de la exposición de la información personal de otros usuarios y los títulos de chat en el servicio ChatGPT del advenedizo a principios de esta semana. La falla, que salió a la luz el 20 de marzo de 2023, permitió a ciertos usuarios ver breves descripciones de las conversaciones de otros usuarios desde la barra lateral del historial de chat, lo que llevó a la compañía a