×
×

Error de autenticación

Ha habido un problema a la hora de conectarse a la red social. Por favor intentalo de nuevo

Si el problema persiste, nos lo puedes decir AQUÍ

×

ThetechguyMiembro desde: 09/02/18

Thetechguy
11
Posición en el Ranking
0
Usuarios seguidores
Sus noticias
RSS
  • Visitas
    172.967
  • Publicadas
    91
  • Puntos
    81
Veces compartidas
34
¡Consigue las insignias!
Trimestrales
Recientes
Visitas a noticias
Hace 1d

Se han proporcionado los detalles de inicio de sesión de una empresa que compra datos de ubicación de teléfonos de las principales compañías de telecomunicaciones y luego los vende a la policía

De acuerdo a expertos en seguridad informatica, un hacker irrumpió en los servidores de Securus, la compañía que permite rastrear casi cualquier teléfono, y que un senador de Estados Unidos ha exhortado a las autoridades federales a investigar. El hacker proporciono los datos robados a Motherboard, incluyendo los nombres de usuario y contraseñas poco seguras para miles de clientes de Securus.

securusa

Aun no es claro cuántos de estos clientes están utilizando el servicio de Securus, estas noticias son una señal de la seguridad laxa de una empresa que otorga un poder excepcional para vigilar a las personas.

“Los agregadores de ubicación son, uno de los objetivos de hackeo más jugosos imaginables”, dijo Thomas Rid, profesor de estudios estratégicos de la Universidad Johns Hopkins.

Recientemente, por investigación del New York Times se dio a conocer que Securus obtiene datos de ubicación del teléfono de las principales compañías de telecomunicaciones, como AT & T, Sprint, T-Mobile y Verizon, y luego pone esta información a disposición de sus clientes. El sistema de obtención de los datos, normalmente es utilizado por especialistas en marketing, pero Securus proporciona un producto para que las fuerzas policiacas rastreen los teléfonos a nivel nacional con poca supervisión legal.

El hacker proporcionó a Motherboard varios archivos internos de la compañía. Una hoja de cálculo de una base de datos marcada como “policía”, la cual incluye más de 2, 800 nombres de usuario, direcciones de correo electrónico, números de teléfono y contraseñas hash y preguntas de seguridad. Los hashes se crearon utilizando el algoritmo MD5 notoriamente débil, lo que se traduce en que los atacantes podrían obtener la contraseña real de un usuario. De acuerdo con expertos en seguridad informatica, algunas de las contraseñas se han descifrado y se han incluido en la hoja de cálculo. No está claro si el hacker que proporcionó los datos descifró estas supuestas contraseñas o si Securus las almacenó de esta manera.

Una gran cantidad de usuarios en la hoja de cálculo provienen de organismos del gobierno, Incluidos los departamentos de policía locales, condados locales y la policía de la ciudad. Las ciudades afectadas incluyen Minneapolis, Phoenix e Indianápolis entre otras. Los datos también incluyen a los miembros del personal de Securus, así como a los usuarios con direcciones de correo electrónico personales.

Parte de los datos indican que muchos usuarios trabajarán en cárceles: algunos usuarios están marcados como “administrador de la cárcel”, “capitán de la cárcel” y “alcaide adjunto”

Los profesionales en seguridad informatica verificaron los datos utilizando la función de contraseña olvidada del sitio de Securus. Cuando se le presentó un nombre de usuario y una dirección de correo electrónico a partir de los datos hackeados, el sitio avanzó a la siguiente etapa del proceso de restablecimiento de contraseña, confirmando que esas credenciales están almacenadas dentro de los sistemas de Securus.

No es claro cuántos de estos usuarios tienen acceso al servicio de localización telefónica de Securus. Pero parte de los datos indican que muchos usuarios trabajarán en cárceles: algunos de los usuarios están marcados como “administrador de la cárcel”, “capitán de la cárcel” y “alcaide adjunto”.

El sitio web de Securus dice “Realice un seguimiento de los dispositivos móviles incluso cuando el GPS esté apagado”. “Registros de detalles de llamadas que proporcionan datos de originación de llamada y ubicación geográfica de terminación de llamadas”. Este es el producto que está siendo abusado por oficiales de la ley.

“Securus permite el seguimiento sin una orden judicial y permite a los usuarios reclamar autorización para hacerlo sin verificarlo. Eso es un problema “, dijo Andrew Crocker, abogado del grupo de campaña Electronic Frontier Foundation. Un hacker que tenga acceso a una lista de usuarios de Securus y sus datos de inicio de sesión podría ser particularmente peligroso.

Esta última violación de datos no es la única señal de que Securus es descuidado con la información confidencial. En manual de usuario de Securus disponible en línea, una parte muestra un mapa y una interfaz de usuario para un producto de Securus, pero en vez de llenar la pantalla con datos falsos para fines de demostración, la guía parece incluir el nombre real, la dirección y el número de teléfono de una mujer en particular.

“La exposición PII en la guía pública del usuario plantea una pregunta: ¿Securus tiene la cultura y los procedimientos establecidos para proteger la PII sensible? La respuesta parece ser no “, dijo Rid.

Más recientes de Thetechguy

Monitorea cualquier servidor con esta herramienta: yamot

Monitorea cualquier servidor con esta herramienta: yamot

Un experto nos explica que yamot es una herramienta de monitoreo de servidores basada en la web creada para entornos pequeños con solo unos pocos servidores 07/05/2018

Vulnerabilidad explotada para eludir la autenticación y controlar la cuenta de cualquier usuario en Oracle Access Manager

Vulnerabilidad explotada para eludir la autenticación y controlar la cuenta de cualquier usuario en Oracle Access Manager

Wolfgang Ettlinger de SEC Consult Vulnerability Lab, encontró una vulnerabilidad en Oracle Access Manager que puede ser explotada de manera remota para eludir la autenticación y hacerse cargo de la cuenta de cualquier usuario o administrador en los sistemas afectados 07/05/2018

Puerta trasera oculta en el paquete JavaScript npm

Puerta trasera oculta en el paquete JavaScript npm

De acuerdo a investigadores, el equipo del Administrador de paquetes del nodo (npm) acaba de evitar un desastre cuando descubrió y bloqueó la distribución de un mecanismo de puerta trasera 04/05/2018

Cómo hacer un ataque de adquisición de subdominio

Cómo hacer un ataque de adquisición de subdominio

Un equipo de expertos en seguridad informática nos comenta que las vulnerabilidades de adquisición de subdominios suceden siempre que un subdominio apunta a un servicio 04/05/2018

Torneos de póker cancelados después de ataques DDoS, los jugadores piden rembolso

Torneos de póker cancelados después de ataques DDoS, los jugadores piden rembolso

A finales de abril, una serie de ataques DDoS continuos golpearon Americas Cardroom (ACR), un sitio de póquer en línea y su Winning Poker Network (WPN), que continuaron hasta el 1 de mayo 04/05/2018

Mostrando: 16-20 de 90