Esta semana en ciberseguridad – Semana Agosto/Septiembre

Más de 620.000 fotos de cuentas de iCloud fueron robadas

Un juicio contra un hombre de California, acusado de acceder a las cuentas de iCloud de cientos de personas y de descargar más de 620.000 fotos y 9.000 vídeos, vuelve a poner de manifiesto un problema que lleva años produciéndose y que ha afectado a todo tipo de personas, pero especialmente a mujeres que ven expuestas sus imágenes privadas y cómo estas se comparten por Internet.

En esta ocasión, el responsable de estos robos se declaró culpable recientemente de cuatro cargos, que incluyen el acceso no autorizado a sistemas informáticos y la suplantación de un agente del servicio técnico de Apple. Este delincuente consiguió acceder a las cuentas de, al menos, 306 víctimas localizadas en los Estados Unidos y de las cuales robó una gran cantidad de fotografías y vídeos.

Como era de esperar, sus principales objetivos eran mujeres jóvenes, y el material que más le interesaba era el que contenía desnudos de sus víctimas. Una vez obtenido este material lo utilizaba para intercambiarlo por otro similar o lo guardaba para su colección privada. Además, también ha reconocido haber accedido a alrededor de 200 cuentas de iCloud a petición de otros usuarios que conoció online.

De acuerdo con los documentos que se han publicado de este juicio, tanto el acusado como sus colaboradores hacían uso de un servicio de correo electrónico cifrado para comunicarse de forma anónima. Cuando este grupo encontraba fotos de sus víctimas desnudas en las cuentas de iCloud a las que accedían de forma ilegal lo consideraban una victoria y muchas veces las compartían entre ellos.

Para poder acceder a las cuentas de iCloud de las víctimas el delincuente suplantó la identidad de un agente de Apple para ganarse su confianza, una técnica que se ha venido utilizando desde hace años. Para ello usó dos direcciones de correo que podrían pasar por legítimas para los usuarios menos experimentados, como son “applebackupicloud” y “backupagenticloud”, las cuales contenían más de medio millón de emails, incluyendo alrededor de 4.700 correos con nombres de usuario y contraseñas de iCloud.

Protegiendo cuentas de iCloud
Este caso es solo el último de una larga lista de incidentes relacionados con accesos no autorizados a cuentas de iCloud, incidentes que han afectado incluso a celebridades. Si echamos la vista atrás recordaremos casos como el acontecido hace ahora 7 años, donde se filtraron fotografías íntimas de famosas como Jennifer Lawrence, Ariana Grande, Rihanna, Kate Upton o Kim Kardashian, entre muchas otras.

Desde entonces ha pasado mucho tiempo, y se han añadido medidas de seguridad que dificultan que un atacante pueda tomar el control de una cuenta de iCloud tan solo con las credenciales de acceso. Por ese motivo es importante adoptar ciertas precauciones como las que mencionamos a continuación:

  • A pesar de que los correos de phishing usados por los delincuentes han experimentado mejoras con respecto a los usados hace años y ya no resulta tan fácil distinguirlos de los legítimos, aún podemos evitar caer en muchas de las trampas preparadas por los delincuentes si nos detenemos a revisar quién envía el correo o el enlace al que se nos quiere redirigir. Si observamos que el correo o enlace proviene de un dominio que no es el esperado de la empresa o servicio, debemos sospechar de ese mensaje.
  • De la misma forma, los delincuentes han mejorado mucho la redacción de estos mensajes en varios idiomas, ya sea porque usan a nativos para redactarlos o incluso traductores apoyados por inteligencia artificial. Aun así, seguimos pudiendo encontrar muchos mensajes con fallos en su redacción, ya sea cometiendo faltas de ortografía o con problemas a la hora de representar ciertos caracteres propios de algunos idiomas (como la ñ en el español).
  • La implementación de medidas adicionales de seguridad como la autenticación multifactor es algo necesario, puesto que añade una capa adicional de seguridad y dificulta a los delincuentes el acceso a nuestras cuentas. Además, Apple permite utilizar otro de nuestros dispositivos Apple como un factor de autenticación y mostrar en él el código de verificación, algo que podemos hacer siguiendo la guía preparada para tal efecto.

FUENTE: https://blogs.protegerse.com/2021/08/27/roban-620-000-fotos-desde-cuentas-de-icloud-haciendose-pasar-por-un-empleado-de-apple/

Roban datos de Zurich Seguros y difunden los clientes de España

Un grupo de ciberdelincuentes ha robado los datos de los clientes de Zurich Seguros en España. La compañía ha sufrido el robo de las bases de datos de parte de sus clientes en España, tal y como revelaron un grupo de ciberdelincuentes, que ha puesto a la venta dicha base de datos en un conocido foro de la dark web dedicado a la compraventa de material procedente de ciberataques.

El grupo asegura contar con una base de datos con más de 4,7 millones de líneas de información. Para demostrar el robo, ha difundido parte del material robado. Se trata de un archivo en el que aparecen más de 26.000 personas y empresas y la siguiente información:

  • Nombre y apellidos
  • DNI
  • Vehículo asegurado: modelo, matrícula y prestaciones
  • Teléfono
  • Dirección de su domicilio
  • Correo electrónico
  • Fecha de la póliza de seguros
  • Agente de Zurich que lleva su póliza

El Confidencial de España ha accedido a la información filtrada por los ciberdelincuentes y ha comprobado, mediante la puesta en contacto con varias de las personas que aparecen en dichos ficheros, que se trata de clientes de Zurich Seguros en España.
También ha podido identificar la identidad de varios de los agentes de la compañía que aparecen en el archivo y que, efectivamente, trabajan en la entidad.

“Hay información como para poder suplantar la identidad de un tercero, conocer los vehículos que tiene a su nombre una persona (un famoso, por ejemplo, o un político con sus matrículas), usar los datos personales para contratar líneas de telefonía, hacerse pasar por clientes de Zurich para obtener la cuenta corriente vinculada a los pagos.”

Vicente Delgado, detective y experto en ciberseguridad

Según ha revelado Zurich, el 12 y 13 de agosto se produjeron obtenciones ilícitas de información de algunos de los clientes de la empresa en España. Los mecanismos de control y gestión de ciberseguidad de la aseguradora se activaron desde el primer momento para determinar la causa y el origen del incidente, tal y como asegura la propia compañía. Afirman que después de los primeros análisis, los indicios señalaban que se podía tratar de una afectación limitada a una línea de negocio lo que supondría un limitado porcentaje de clientes. Ahora mismo están a la espera de los resultados del informe de investigación.

La base de datos, en venta: 0,025 BTC (USD 1.000)
El precio resulta sorprendentemente bajo. Por ponerlo en contexto y en comparación, a la empresa tecnológica Garmin le pidieron 10 millones de dólares (214 ‘bitcoins’) el año pasado y a Acer 50 millones de dólares (1.074 ‘bitcoins’) este 2021. En el caso de Zurich Seguros, la base de datos está a la venta por apenas 0,025 BTC.

De todos modos, los precios de Garmin y Acer no son comparables a los del robo a Zurich Seguros. En los dos primeros casos, la cantidad fue requerida a las empresas atacadas (que se supone que estarían dispuestas a pagar más), mientras que los 1.000 dólares de la base de datos de Zurich Seguros es el precio público de venta para cualquier otro ciberdelincuente (que se supone que ofrecerá menos dinero) que quiera comprarla.

Poner una base de datos a la venta en el mercado negro es una táctica habitual cuando el ciberdelincuente ha intentado chantajear económicamente a su víctima pero no ha conseguido su objetivo. En este caso, El confidencial aún no ha podido comprobar este punto con el equipo de Zurich Seguros.

El origen del ataque aún es desconocido. Para Vicente Delgado, “de momento no hay información disponible acerca de la intrusión, pero no parece estar relacionado con algún tipo de ‘ransonware’, sino con algún tipo de mala configuración de la web de Zurich para mediadores”. Además, “las personas que están poniendo a disposición de terceros la base de datos parecen haberla recabado de un foro de terceros”, asegura, algo que podría explicar el bajo precio.

FUENTE: https://www.elconfidencial.com/tecnologia/2021-08-13/zurich-seguros-robo-ciberataque-hackers_3230922/

Error crítico de Azure Cosmos DB que permite la adquisición total de cuentas en la nube

Una vulnerabilidad de seguridad crítica en la plataforma de base de datos en la nube Azure de Microsoft, Cosmos DB, podría haber permitido la toma de control remota completa de cuentas, con derechos de administrador para leer, escribir y eliminar cualquier información en una instancia de base de datos.

Si bien, no está claro si los clientes de Microsoft sufrieron violaciones durante el período de meses en el que el error #ChaosDB en Jupyter Notebooks fue explotable. Según los investigadores de Wiz, cualquier cliente de Azure podría acceder a la cuenta de otro cliente, sin autenticación. El error, denominado #ChaosDB, podría explotarse trivialmente y “afecta a miles de organizaciones, incluidas numerosas empresas Fortune 500”.

Microsoft deshabilitó el componente defectuoso después de que Wiz lo alertó y notificó a más del 30 por ciento de los clientes de Cosmos DB sobre el problema, pero “creemos que el número real de clientes afectados por #ChaosDB es mayor”, según un artículo de Wiz, publicado el jueves.

La firma agregó que se desconoce cualquier explotación previa y que “la vulnerabilidad ha sido explotable durante meses y todos los clientes de Cosmos DB deben asumir que han estado expuestos”.

Por cierto, el problema no tiene CVE porque los errores de nube no están designados dentro de ese sistema, agregaron los investigadores.

Detalles de error escasos para #ChaosDB
El problema existe en la función Jupyter Notebook de Cosmos DB, según el análisis. Jupyter Notebook es una aplicación web de código abierto que permite a los usuarios crear y compartir documentos que contienen código en vivo, ecuaciones, visualizaciones y texto narrativo.

“Los Jupyter Notebooks integrados en Azure Cosmos DB se integran directamente en el portal de Azure y sus cuentas de Azure Cosmos DB, lo que los hace convenientes y fáciles de usar”, según la documentación de Microsoft. “Los desarrolladores, científicos de datos, ingenieros y analistas pueden utilizar la experiencia familiar de Jupyter Notebooks para realizar exploración de datos, limpieza de datos, transformaciones de datos, simulaciones numéricas, modelado estadístico, visualización de datos y aprendizaje automático”.

Sin embargo, los investigadores de Wiz encontraron que al consultar información sobre un Jupyter Notebook de Cosmos DB de destino, es posible obtener credenciales no solo para la instancia de computación de Jupyter Notebook y la cuenta de Jupyter Notebook Storage de otro usuario, sino también para la cuenta de Cosmos DB, en si. También la clave primaria de lectura y escritura utilizada para cifrarlo.

“Con estas credenciales, es posible ver, modificar y eliminar datos en la cuenta de Cosmos DB de destino a través de múltiples canales”, según Wiz.

La compañía no proporciona más detalles técnicos más allá del hecho de que #ChaosDB en realidad está formado por una serie de vulnerabilidades que pueden encadenarse; pero proporcionó un diagrama de ataque:

FUENTE: https://threatpost.com/azure-cosmos-db-bug-cloud/168986/