Datos personales de cientos de miles de clientes de Tommy Hilfiger Japón se expusieron en línea.

Una vulnerabilidad de seguridad descubierta en el sitio web de Tommy Hilfiger Japón resultó en la información personal de decenas de miles de clientes expuestos en línea para que cualquiera los vea.

El problema se originó en una base de datos mal configurada. Con lo que los investigadores describen como «manipulación mínima», la vulnerabilidad podría aprovecharse para obtener acceso a los datos del cliente. Los nombres completos, las direcciones, los números de teléfono, las direcciones de correo electrónico y la fecha de nacimiento estaban disponibles en formato de texto simple sin cifrar.

Más información

#HablemosDeSeguridad

Vía @Forbes

¿Tú te quejas de las violaciones de privacidad en Internet?

Parece que la gente, en muchos casos, no aprende, sino que luego es más fácil echar la culpa a los propietarios de los sitios web o aplicaciones online afectadas, que mirar un poco cuáles han sido nuestros errores.

Muchos usuarios no utilizan contraseñas, y otro tanto, utilizan contraseñas absurdas y de dominio público.

Más información

#HablemosDeSeguridad

Vía @adslzone

Georgia Tech sufre un incumplimiento de 1.3 millones de empleados y registros estudiantiles.

Una universidad de EE. UU. Reconocida por sus programas de ciencias de la computación reveló que más de un millón de estudiantes y personal actuales y anteriores han tenido acceso a datos confidenciales por parte de un tercero no autorizado.

Georgia Tech emitió una breve nota el martes en la que afirmaba que el «acceso no autorizado a una aplicación web» le había permitido al individuo robar datos en 1,3 millones de profesores, estudiantes, personal y aplicaciones de estudiantes.

«La información a la que accedió ilegalmente una entidad externa desconocida estaba ubicada en una base de datos central», agregó. «El equipo de seguridad cibernética de Georgia Tech está llevando a cabo una exhaustiva investigación forense para determinar con precisión qué información se extrajo del sistema, que puede incluir nombres, direcciones, números de seguridad social y fechas de nacimiento».

La vulnerabilidad de la aplicación web en cuestión ahora se abordó después de que el equipo de TI de la universidad descubrió el incidente a fines del mes pasado, aunque no está claro cuánto tiempo tuvo el tercero acceso a los datos confidenciales del personal y los estudiantes.

Las autoridades educativas relevantes han sido notificadas y se espera más información pronto.

«Continuamos investigando el alcance de la exposición de datos y compartiremos más información a medida que esté disponible», dijo Georgia Tech.

“Nos disculpamos por el impacto potencial en los individuos afectados y en nuestra comunidad en general. Estamos revisando nuestras prácticas y protocolos de seguridad y haremos todos los esfuerzos para garantizar que esto no vuelva a suceder «.

El incidente podría significar que Georgia Tech infringe FERPA, la ley de privacidad de los EE. UU. Que cubre los registros de los estudiantes, según Mike Mason, gerente general de seguridad en la nube de FairWarning.

«Las instituciones de aprendizaje son increíblemente ricas en datos confidenciales para piratas informáticos», agregó. «Esta violación subraya la importancia de monitorear las aplicaciones en la nube y la visibilidad en la capa de la aplicación sobre quién está cargando y descargando documentos y otra información comercial confidencial».

Más información

#HablemosDeSeguridad

Vía @ infosecurity-magazine

California propone regulación más estricta a empresas por datos de clientes.

Funcionarios del estado presentaron un proyecto de ley que obligaría a las empresas a reportar si sus datos de pasaporte o datos biométricos fueron expuestos en ‘hackeos’.

Funcionarios de California propusieron una legislación que, de ser aprobada, establecería pautas más estrictas para cuando las empresas necesiten informar a los clientes sobre una violación de datos en Estados Unidos.

El proyecto de ley requeriría que las compañías notifiquen a los residentes de California cuando sus números de pasaporte, tarjeta de pasaporte o green card estén comprometidos en violaciones de datos. También requeriría que los clientes sean notificados de información biométrica comprometida, como huellas digitales

Más información

#HablemosDeSeguridad

Vía @ExpansiónMX

Los pasaportes de 5M a los que se accedió en violación de Marriott no estaban encriptados.

Marriott International pudo haber reducido el número de registros afectados por el incumplimiento de su división de Starwood a 383 millones, pero la cadena de hoteles admitió que cinco millones de pasaportes robados en el incidente por un pirata informático desconocido no estaban cifrados.

Más información

#HablemosDeSeguridad

Vía @scmagazine

Las cinco principales violaciones de datos de 2018 en el sector de la salud.

Durante el último año, múltiples brechas de datos y ciberataques masivos sacudieron el sector de la salud. El sector fue testigo de algunas de las mayores brechas en 2018. Los ciberdelincuentes continuaron atacando masivamente con Malware.

Más información

#HablemosDeSeguridad

Vía @cyware

Detalles personales de 120 millones de brasileños expuestos.

Las bases de datos mal configuradas con controles de acceso deficientes o ausentes tanto en la nube como en los servidores internos es un problema conocido y común. Cuando estas bases de datos están expuestas a Internet, cualquier persona, con o sin experiencia cibernética, puede acceder a la base de datos y su contenido. Si bien no hay un ‘hack’ involucrado, tales casos deberían llamarse una violación ya que a menudo no hay forma de saber si los actores maliciosos han accedido a los datos contenidos. La gravedad potencial de tales violaciones solo puede medirse por la cantidad y calidad (en términos de potencia maliciosa) de los datos contenidos.

Más información
#HablemosDeSeguridad
Vía @Securityweek

2.65 millones de registros expuestos en brecha en el sector salud

Otro anuncio sobre violación masiva de datos ha sido noticia, esta vez para el proveedor del programa de salud y bienestar Atrium Health, anteriormente conocido como Carolinas HealthCare Systems, según un anuncio conjunto de Atrium Health y AccuDoc.

Más información
#HablemosDeSeguridad
Vía @InfosecurityMgz

Aerolínea Cathay Pacific admite que el ciberataque duró meses.

Se han planteado preguntas sobre la respuesta al incidente de Cathay Pacific después de que surgieron nuevos detalles sobre la mayor violación de datos de las aerolíneas en el mundo.

La aerolínea de Hong Kong originalmente alegó el mes pasado que «descubrió acceso no autorizado» a los datos de 9,4 millones de pasajeros y «tomó medidas inmediatas para investigar y contener el evento». Los informes en el momento sugirieron que la empresa había encontrado por primera vez pruebas de la actividad en marzo y datos confirmados habían sido accedidos dos meses después.

 Hubiera sido lo suficientemente malo, pero en una nueva presentación ante la legislatura de Hong Kong (LegCo) esta semana, la aerolínea admitió que después de descubrir la actividad sospechosa inicial estaba «sujeta a nuevos ataques que fueron más intensos en marzo, abril y mayo, pero continuó a partir de entonces «.
Más información
#HablemosDeSeguridad

Datos de salud de ciudadanos de Singapur robados

Hackers robaron datos pertenecientes a 1,5 millones de ciudadanos de Singapur, incluyendo los del Primer Ministro, a partir de una base de datos del sector salud. Según una declaración oficial del gobierno, «las investigaciones de la Agencia de Seguridad Cibernética de Singapur (CSA) y el Sistema Integrado de Información de Salud (IHiS) confirmaron que se trataba de un ciberataque deliberado, selectivo y bien planeado». El incidente fue detectado el pasado 4 de julio; los hackers habían estado extrayendo información desde el 27 de junio.

#HablemosDeSeguridad
Vía ZDNet
Más información