Menú principal

Mostrando entradas con la etiqueta LinkedIN. Mostrar todas las entradas
Mostrando entradas con la etiqueta LinkedIN. Mostrar todas las entradas

martes, 7 de junio de 2016

Mark Zuckerberg hackeado en Twitter, Pinterest y LinkedIn

Es una de las noticias de la semana, sin duda, el fundador de Facebook, Mark Zuckerberg, ha sido el objetivo y blanco de unos atacantes que han conseguido robar sus credenciales y controlar varias de sus cuentas de redes sociales, algunas de las cuales fueron desconfiguradas y "burladas". La cuenta de Facebook no se encontraba entre los perfiles expuestos, aunque su Pinterest, Twitter y LinkedIn sí. Los atacantes hicieron captura de pantalla de los mensajes, antes de que éstos fueran borrados. Se atribuye el ataque a un grupo de atacantes llamado OurMine

La cuenta de Twitter de los supuestos atacantes ha sido suspendida. El mes pasado, un volcado masivo de datos de correo electrónico y contraseñas de LinkedIn fue expuesto en Internet. En aquel entonces había almacenados contraseñas sin salt en un hash con SHA-1. Esto permite a cientos de miles de personas intentar romper dichos hashes. No queda claro si Zuckerberg fue hackeado por este medio, pero es viable. Además, la complejidad de la contraseña utilizada por Zuckerberg es mínima. 

Figura 1: Cuenta de Zuckerberg hackeada

La contraseña utilizada por el fundador de Facebook era "Dadada". Algunos de los atacantes, parecen referenciar al incidente de LinkedIn como fuente del ataque, por lo que puede surgir todo de dicho ataque. La reutilización de las contraseñas es un error típico en las personas, por lo que consiguiendo la contraseña de LinkedIn, pudieron obtener acceso a las otras redes sociales. Parece que el CEO de la mayor red social del mundo podría haber caído en este fallo humano de concienciación en seguridad. Un portavoz de Facebook declinó hacer comentarios sobre estos hechos.
a las 10:15 0 comentarios
Etiquetas: , , , , , ,

jueves, 12 de diciembre de 2013

Saber si una identidad tuya ha sido expuesta en un hackeo

Uno de las grandes problemas de seguridad es la reutilización de identidades, es decir, usar el mismo nombre de usuario y la misma contraseña en diferentes servicios en los que hay que registrase en Internet. Esto cobra especialmente relevancia cuando nos encontramos con incidentes de seguridad en los que las bases de datos de usuarios y contraseñas son expuestas en Internet, como en el caso de Adobe, Yahoo!, Linkedin, Sony, etcétera, como recuerdan en SpamLoco.

Saber si tu identidad ha sido expuesta en uno de esos hackeados obligar a revisar manualmente los datos que se han filtrado y buscar tus datos en ellos, y esto es lo que hace el investigador Troy Hunt con el servicio Have I been Pwned? que permite revisar tu identidad y password dentro de la base de datos que ha quedado expuesta.

Figura 1: Servicio Have I Been Pwned?

Actualmente el sitio cuenta con las bases de datos de identidades expuestas en 6 incidentes de seguridad, que suman un total de 153 Millones de direcciones de correo electrónico y 154 Millones de usuarios y contraseñas. Esto, es especialmente importante en el caso de que se haya expuesto tu Apple ID, así que ten prácticas saludables en la gestión de tus identidades y si ha sido expuesta tu identidad, cambia la password lo antes posible.
a las 8:28 0 comentarios
Etiquetas: , , , , , , ,

sábado, 27 de octubre de 2012

Mundo Hacker TV: Demos de hijacking de iOS apps

A principios de Septiembre se emitió el Episodio número 8 de Mundo Hacker TV, dentro de lo que es la segunda temporada, dedicado esta vez a la seguridad de los dispositivos móviles. El título del programa fue "Bring Your Own Device". y en el se tocaron muchos de los temas que tratan aquí en Seguridad Apple. Nuestro compañero Chema Alonso estuvo hablando de iOS. En la parte de Welcome to the real world, hizo las demos de Hijacking  de Facebook para iOS y Hijacking Linkedin para iOS


Esta es la tercera vez que Chema Alonso participa en un programa, ya que estuvo en el Mundo Hacker de TV de los metadatos, del que luego se grabó una versión más reducida para Televisión que nunca se llegó a emitir.
a las 7:31 0 comentarios
Etiquetas: , , , , , , , , , , ,

martes, 19 de junio de 2012

Linkedin para iOS vulnerable a ataque de Hijacking

Hemos podido comprobar que, al igual que ya sucedía con Facebook para iOS o Dropbox para iOS, la aplicación de Linkedin para iOS también es vulnerable ante un ataque de Hijacking mediante el acceso a las cookies de sesión almacenadas en el dispositivo.

La vulnerabilidad es la misma, y se explota de forma similar, ya que basta con tener acceso a un backup del dispositivo móvil y copiar un par de ficheros que utilizar la aplicación para guardar todos los datos del usuario conectado y la sesión abierta.

Los ficheros son:
Linkedin/Cookies/Cookies.binarycookies
Linkedin/Preferences/com.linkedin.Linkedin.plist
Figura 1: Copiando los ficheros con iFunBox

Es suficiente, por tanto, que alguien pueda acceder a ellos antes de que se haya cerrado la sesión, para que pueda reutilizarlos en cualquier otro dispositivo y acceder a la sesión definida en ellos, por lo que habría que tener especial cuidado con ellos. Como es necesario que se acceda a un bakup, y que pueda ser crackeado el passcode, por lo que se hace especialmente importante proteger el backup contra ataques al passcode. La otra alternativa es un dispositivo con jailbreak y un ataque de Juice Jacking.

Figura 2: Cierre de sesión en Linkedin para iOS en iPad

Además, nos gustaría recordar que Linkedin, a día de hoy, sigue sin cifrar las comunicaciones una vez abierta la sesión, así que no solo se transmite información sensible como los datos de reuniones, sino que sigue siendo posible que alguien en nuestra misma red WiFi pueda robarnos la sesión con un hijacking de red, por lo que hay que tener mucho cuidado con usar Linkedin para iOS en redes inseguras.
a las 6:02 0 comentarios
Etiquetas: , , , , , , ,

miércoles, 6 de junio de 2012

LinkedIN para iOS envía tu calendario en texto claro

Otra aplicación de iOS sacudida por la polémica de la privacidad. En esta ocasión se trata de LinkedIN para iOS, que tal y como han demostrado los investigadores Yair Amit y Adi Sharabani en una presentación dada en la Universidad de Tel Aviv, la aplicación está enviando en texto claro toda la información de las reuniones que el usuario tiene en el calendario.

En este caso, la aplicación solicita la aprobación del usuario para sincronizar los calendarios con sus servidores, para poder extender la información de las reuniones con los perfiles de los miembros que participarán en ella. Sin embargo, cuando se concede dicho permiso, la transmisión de los eventos del calendario es completa, en lugar de sólo algún identificador, y lo que es peor, se realiza en texto claro, dejando que todo el mundo en la misma red pueda capturar esa información.

Figura 1: Información capturada por la red de los calendarios

No es nuevo que LinkedIN no utiliza canales de cifrado, ya que esto no lo realiza ni en su aplicación web, por lo que no debería sorprender a nadie que la aplicación para iOS tampoco haga uso de ellos, lo que para nosotros es un fallo en ambos casos. Lo que agrava la situación según los investigadores es que se transmita absolutamente todo el calendario.

LinkedIN es una red social utilizada por mucha gente, incluso grandes directivos o políticos, por lo que la alerta va dirigida especialmente a aquellos que quieran tener privacidad de con quién se reunen y cuándo, no vaya a ser que alguien no deseado acceda a esa información.
a las 10:01 0 comentarios
Etiquetas: , , , , ,
Suscribirse a: Comentarios (Atom)

Entrada destacada

Proteger tu cuenta de Google y de Gmail con Latch Cloud TOTP #Latch #Gmail #Google

La semana pasada se liberó la nueva versión de Latch y nuestro compañero Chema Alonso hizo un repaso de todo ello en su artículo Latch...

Otras historias relacionadas

Entradas populares