Quora.com hacked

Another one bites the dust“, this time Quora.com has been hacked and information for all the users exposed.

As you can read in their security update blogpost this was the information exposed:

  • Account information, e.g. name, email address, encrypted (hashed) password, data imported from linked networks when authorized by users
  • Public content and actions, e.g. questions, answers, comments, upvotes
  • Non-public content and actions, e.g. answer requests, downvotes, direct messages (note that a low percentage of Quora users have sent or received such messages)

What happened

Last Friday the Quora.com team discovered that some user data was compromised by a third party who gained unauthorized access to one of their systems.

They’re conducting an investigation and while that investigation is still ongoing, in their own words “we have already taken steps to contain the incident, and our efforts to protect our users and prevent this type of incident from happening in the future are our top priority as a company”.

What’s Quora doing

Meanwhile they’re doing the investigation and working together with some external security and digital forensics firms they’re taking some steps to improve security and minimise the impact, such as:

  • Notify users whose data has been compromised.
  • Logging out all Quora users who may have been affected, and, if they use a password as their authentication method, we are invalidating their passwords.

They “believe” they’ve identified the root cause and taken steps to address the issue, although the investigation is ongoing and they’ll continue to make security improvements.

Conclusion

We as software engineers, sysadmins, DevOps, or whatever cool name appears in the near future, should take seriously the security of our applications and the privacy of our users.

This won’t be the last security issue we’ll see in this cloud world.

Cancelando cuentas en Twitter y Facebook

Recientemente leí un artículo sobre un fallo grave de seguridad que afectaba a Github y Twitter. Aquí puedes leer el anuncio sobre este, en mi opinión, gravísimo fallo de segurdad.

Plaintext passwords in internal logs at Twitter and Github

  • Github notified a small subset of users that their passwords were visible in internal logs: link
  • Twitter asks for a password reset after discovering a similar issue: link

Continue reading “Cancelando cuentas en Twitter y Facebook”

El agujero en Linux GHOST afecta a WordPress y PHP

Investigadores de seguridad han descubierto que el agujero en Linux GHOST, también afecta a apps PHP, incluyendo el Sistema de Gestión de Contenidos WordPress, utilizado en millones de sitios web.

GHOST es el acrónimo de “Glibc Gethostbyname Buffer Overflow”, un agujero crítico de Linux que afecta al GNU C Library (glibc) y permite a un atacante tomar el control de los sistemas sin conocer usuario o contraseña.

Continue reading “El agujero en Linux GHOST afecta a WordPress y PHP”

Project Zero, la solución de Google para las empresas con vulnerabilidades

Google ha estrenado, Project Zero, un ambicioso proyecto que incluye a un equipo de especialistas en seguridad que trabajarán para localizar vulnerabilidades en software de terceros. Cuando los investigadores de Project Zero detecten problemas avisarán a los desarrolladores y las vulnerabilidades que vayan encontrándose serán publicadas en una base de datos externa.

Además se dispondrá de un programa de recompensas, abierto a investigadores externos que descubran problemas en algún software de terceros, del mismo modo que el programa actual de recompensas para Android, llamado Patch Reward Program

Continue reading “Project Zero, la solución de Google para las empresas con vulnerabilidades”

Vulnerabilidad de Google permite a cualquier dar órdenes a sus servidores

Investigadores de Detectify han detectado un fallo de seguridad relacionado con Google Toolbar (la barra de herramientas de Google) gracias al cual cualquier puede dar órdenes a los servidores del buscador.

Los usuarios de Google Toolbar, pueden personalizar los botones que desean y para ello tan solo es necesario un archivo XML. Al parecer,  gracias a este archivo, cualquiera puede introducir órdenes para que los servidores de Google las ejecuten. Se supone que Google solo lee estos archivos, pero sorprendentemente también ejecuta las acciones que en él aparecen.

Continue reading “Vulnerabilidad de Google permite a cualquier dar órdenes a sus servidores”

Más de 1300 apps de Android afectadas por Heartbleed

heartbleed

Tras analizar  casi 400.000 aplicaciones alojadas en la Google Play Store para comprobar si Heartbleed afectaba a estas aplicaciones Android,  la empresa Tred Micro asegura que aproximadamente 1300 de estas aplicaciones son vulnerables al bug.

“Las aplicaciones móviles, nos guste o no, son tan vulnerables a Heartbleed como lo son las páginas web (además de las aplicaciones de navegador móvil, de compra online, banca o apps de licitación). Esto se debe al hecho de que la mayoría de las apps ofrecen la posibilidad de comprar desde la aplicación, pues es una forma segura de conseguir más víctimas con esta vulnerabilidad“, explica Veo Zhang, un especialista en amenazas móviles.

Continue reading “Más de 1300 apps de Android afectadas por Heartbleed”

Seguridad: Heartbleed, el gran error en OpenSSL

Investigadores de Google y de la empresa de seguridad Codenomicon, han descubierto un fallo de seguridad, que permite capturar y desencriptar nombres de usuario y contraseñas: Heartbleed.

Procede de un error de implementación de la función Heartbeat de OpenSSL  y su gravedad radica en que se trata de un bug que permite comprometer los datos y las comunicaciones de los usuarios de sitios web, correo electrónico, aplicaciones de mensajería instantánea o redes virtuales privadas.

Continue reading “Seguridad: Heartbleed, el gran error en OpenSSL”

Malware roba Bitcoins

El troyano se llama OSX/CoinThief.A  y se oculta como una aplicación para enviar y recibir pagos con la moneda virtual, llamada StealthBit, que se descarga de GitHub. La primera vez que se ejecuta, el troyano instala extensiones en los navegadores Safari y Chrome que no alertan al usuario. Esas extensiones monitorean todo el tráfico web de la víctima con el fin de robar las contraseñas de inicio de sesión de los monederos Bitcoin, que son los que permiten realizar transacciones con la moneda virtual.

Continue reading “Malware roba Bitcoins”

Hackean Snapchat y filtran los datos de sus 4 millones de usuarios

Snapchat es una aplicación original que no genera beneficios pero su base de usuarios está en continuo crecimiento. La app ha despertado incluso el interés de Facebook que ofreció al cofundador de la apliación, Evan Spielgel, 3.000 millones de euros.

Una oferta que el jóven de tan sólo 23 años rechazó seguro de que su compañía valdrá mucho más de lo que estaban dispuestos a pagar por ella.

Continue reading “Hackean Snapchat y filtran los datos de sus 4 millones de usuarios”

Un ordenador capaz de descifrar cualquier contraseña

La NSA o Agencia de Seguridad Nacional deEstados Unidos está trabajando en la construcción de un ordenador cuántico criptológicamente útil, es decir, una máquina exponencialmente más rápida que los ordenadores clásicos capaz de descifrar cualquier contraseña, según una filtración del ex-contratista Edward Snowden.

La investigación se realiza en salas grandes y blindadas conocidas como jaulas de Faraday Tal y  el programa de investigación estaría dotado con 79,7 millones de dólares.

Continue reading “Un ordenador capaz de descifrar cualquier contraseña”

Todo protegido con Google Cloud Storage

La seguridad en Internet es algo suficientemente importante como para tomarlo muy en serio. Con más motivo ahora que se popularizan los servicios en la nube que nos permite disfrutar de nuestra música, emails, documentos, notas, amigos, contactos, agenda, en Internet, siempre accesible y desde cualquier dispositivo.

Google Cloud Storage es un servicio cloud computing que permite almacenar cualquier cosa que necesites. Recientemente han anunciado que de manera gratuita y automática todo el contenido se encripta antes de almacenarse en su plataforma.

Continue reading “Todo protegido con Google Cloud Storage”

Unos Hackers brasileños atacan por error la web de la NASA

Hackers brasileños atacaron la web de laNASA confundiéndola con la web de la Agencia de Seguridad de Estados Unidos (NSA).

En el ataque han publicado un mensaje en la web de la estación espacial estadounidense advirtiendo que dejen de espiarles. El ataque no ha provocado alteraciones en documentos clasificados de su sistema y ya se encuentran reconstruyéndolo.

Continue reading “Unos Hackers brasileños atacan por error la web de la NASA”

La aplicación de Android para hackear aviones

El consultor de seguridad y piloto comercial Hugo Tesoha creado una aplicación para Android que permite hachear el sistema de control de aviones, pudiendo tomar el control de un avión de pasajeros.

Presentó su aplicación en el Hack In The Box Conference de Amsterdam para sacar los colores al estado de la seguridad de la aviación, los sistemas informáticos y los protocolos de comunicación. PlaneSploit, intercepta la comunicación, hace uso de otro sistema de comunicación con el que enviar mensajes malintencionados y podría tomar el control total del avión o afectar indirectamente al piloto.

Continue reading “La aplicación de Android para hackear aviones”

Create a website or blog at WordPress.com

Up ↑