Fieles a la tradición del podcast, el episodio de enero está dedicado a hacer un repaso por algunas de las noticias de brechas y filtraciones más sonadas del pasado año.
Podéis escuchar el audio en el siguiente reproductor o ir a la página del podcast. También podéis suscribiros en Apple Podcasts, ivoox y Spotify o mediante el feed RSS.
Noticias
A continuación las noticias comentadas en el episodio y algunos enlaces a fuentes para ampliar información:
- Las vulnerabilidades Meltdown y Spectr en procesadores Intel (INCIBE, AVpodcast).
- Datos de clientes de Bongo International LLC, adquirida por FedEx en 2014, alojados en Amazon S3 quedan al descubierto años después. (kromtech.com).
- Filtrada la base de datos del DNI de la India. Incluye datos de identificación, biométricos, bancarios… (zdnet.com).
- Investigación de ESET sobre antivirus falsos para Android y ampliación de Lukas Stefanko (Hilo de @LukasStefanko, welivesecurity.com).
- Contraseñas de usuarios en claro en los logs de Twitter (blog oficial de Twitter.com).
- Un bug en los sistemas del operador telefónico T-Mobile permite que cualquiera pudiese ver los datos de sus clientes (zdnet.com).
- Bases de datos de Firebase mal configuradas empleadas como backend de apps para Android e iOS dejan expuestos datos de usuarios (bleepingcomputer.com).
- La compalía de material para fitness Polar muestra bases militares secretas al mostrar mapas de calor de uso de sus pulseras (theverge.com, zdnet.com).
- TSMC, la gran fabricante de chips, atacada por ransomware (INCIBE-CERT).
- Robados datos de 380.000 clientes de British Airways mediante modificación de una librería de javascript en su web (INCIBE-CERT).
- Se adelanta el cierre de Google+ por otro fallo que expuso datos de 500.000 cuentas de usuarios (INCIBE-CERT).
- Filtración de datos clientes de la cadena hotelera Marriot en lo que parece ser un ataque a gran escala atribuible a un acto de ciberguerra (nytimes.com).
- 1ª Sanción basada en el RGPD por filtración de datos en una aplicación de mensajería (infosecurity-magazine.com).
- Amazon envía 1.700 grabaciones de audio de un cliente de Amazon Echo a otro cliente que ejercía su derecho de acceso a datos personales (unaaldia.hispasec.com).
- Un fallo de seguridad de XML-RPC de WordPress permitía la propagación de un ataque de forma automatizada de una instancia a otra del CMS (elladodelmal.com).
- Routers Livebox Orange filtran credenciales de acceso a la red WiFi accediendo a ficheros no protegidos mediante conexiones HTTP al interfaz WAN de dichos equipos (adslzone.net, INCIBE-CERT).
- Las 100 peores contraseñas del año (teamsid.com).