¡Facebook dará hasta $40,000 por encontrar vulnerabilidades!

¡Facebook dará hasta $40,000 por encontrar vulnerabilidades!

Para todos ustedes que aman encontrar errores y explotarlos, ahora puedes recibir $40,000 dólares por encontrar y reportar vulnerabilidades en los sitios y aplicaciones de Facebook.

Facebook hizo un anuncio el cual estipulaba:

Investigadores de cyber-seguridad que encuentren áreas vulnerables de seguridad en cualquier producto de Facebook, incluyendo Instagram, Oculus y Whatsapp, los cuales puedan llevar a tomar poder de cuentas, acceder tokens o acceder a las sesiones válidas de usuarios, recibirán un aproximado de:

  1. $40,000 — si no tienen que usar la interacción del usuario.
  2. $25,000 — si el usuario hace una interacción mínima.

Facebook pide que los investigadores manden sus reportes POC para no tener que descubrir más formas de evadir mecanismos de seguridad.

Todo esto comenzó porque hace un tiempo Facebook tuvo una falla de seguridad la cual permitió que los atacadores accedieran a información personal de casi 30 millones de usuarios, usando tokens de acceso robados.

Para reportar las vulnerabilidades, pueden acceder aquí: https://www.facebook.com/whitehat/report?hc_location=ufi

¡Creemos aquí en WhiteSuit que usarán sus poderes para el bien y aportarán mucho! ¡Éxito y Excelsior!

¡Tal vez quieras cambiar tu contraseña de Instagram! Bug revela contraseñas.

¡Tal vez quieras cambiar tu contraseña de Instagram! Bug revela contraseñas.

Recientemente hicieron un patch de seguridad en su sitio web que pudo haber expuesto algunas contraseñas en texto simple.

La empresa comenzó a notificar a los usuarios afectados de una falla en su sistema de seguridad en cuanto a la nueva opción de descargar tus datos, cosa que permite descargar una copia de nuestra información de la red social, incluyendo fotos, comentarios y más. Esta opción pedía confirmar tu contraseña antes de descargar tus archivos.

Image result for instagram 1 notification

Pero algunas contraseñas de los usuarios que usaron esta nueva ventaja fueron incluidas en el sitio de destino y también en los servidores de FB debido a una falla descubierta por el equipo de Instagram.

La empresa dice que ya se han borrado estos detalles de los servidores de FB, y la se ha hecho una actualización para que no vuelva a pasar algo así con ningún usuario. Aparentemente esto afecto a pocos.

En dado caso de que no hayan recibido ninguna notificación, significa que sus cuentas están seguras, pero si aún tienen miedo con respecto a la seguridad de sus cuentas, pueden cambiar sus contraseñas.

Nosotros recomendamos que utilicen el 2FA (autenticación de 2 factores) y tener en cuenta que una contraseña debe ser fuerte y única.

Recuerden que hace unos meses Instagram fue atacado de manera que varios usuarios fueron desterrados de sus cuentas al cambiarles email, nombre, fotos y contraseñas.

Facebook nuevamente tuvo que arreglar unos detalles…

Facebook nuevamente tuvo que arreglar unos detalles…

Imperva, líderes en ciber-seguridad, informó a Facebook a través de su programa de divulgación de vulnerabilidades en mayo de este año, así que la empresa en unos días arregló el problema agregando medidas de protección CSRF

Para aprovecharse de los usuarios en Facebook, lo único que se tenía que hacer era engañar para que visiten un sitio con su web browser en el que Facebook tenga sesión abierta. El sitio tendría un código javascript el cual se ejecutaría en segundo plano apenas hagan click en cualquier lugar, así dando acceso a la información personal de sus usuarios y amigos. Piensa 2 veces antes de dar click en tus jueguitos de “como te verías si…”.

facebook-hacking-software

Para explicar como funciona el código usado para encontrar información, una vez que le das permiso de acceder a Facebook a una página, esta puede hacer búsquedas personalizadas sin tu consentimiento, así pueden ver intereses personales, personas agregadas, este tipo de “hack” es para búsquedas específicas, pero bien usado podría aportar muy bien a la segregación demográfica. En sí, cualquier persona que hubiese tenido acceso a tu información, habría necesitado preguntar cosas específicas, así que se tardaría en lograr saber lo suficiente de alguien.

Esta problemática de acuerdo con Facebook, ya se ha corregido y no presenta algún otro tipo de fuga electrónica.

Celulares rotos en Tokyo por el, ¡¡¡Pwn20wn 2018!!!

Celulares rotos en Tokyo por el, ¡¡¡Pwn20wn 2018!!!

¡Hackers de sombrero blanco, se reunieron nuevamente para demostrar que lo pueden todo!

iPhoneX, Samsung Galaxy S9, Xiaomi Mi6 estuvieron en la lista de dispositivos “rotos”, las competencias eran simples, Demostrar que hay bugs y se pueden infiltrar a los nuevos sistemas operativos de los dispositivos mobiles, un equipo llamado Fluoroacetate logró estas hazañas en varios dispositivos, entre ellos el iPhone, donde lograron conseguir una foto ya borrada del celular, el premio por este logro era de $50,000, todos los premios rondaban por ese número, y el equipo de Fluoroacetate (fluoroacetato) ganó “Master of Pwn”.

¿Llegaremos a ver mexicanos compitiendo pronto? Eso espero.

¡Pueden acceder a tus contactos si tienes iPhone actualizado!

¡Pueden acceder a tus contactos si tienes iPhone actualizado!

A unas horas del lanzamiento del nuevo sistema operativo iOS 12.1, José Rodríguez, investigador de seguridad, confirmó que pudo acceder a los contactos de un iPhone sin necesidad de introducir la contraseña.

Para demostrar la hazaña, José subió un video describiendo como lo logró, es algo muy simple de hacer, así que quien tenga su Iphone actualizado o quiera saber los pasos a seguir, abajo están.

  1. Llamar al iPhone en cuestión o generar una llamada desde este, Siri facilita esto al preguntarle el número.
  2. Al conectarse la llamada, inicia Videollamada desde el iPhone en cuestión.
  3. Ahora sólo ir al botón que de “Añadir Persona”.
  4. Picar al botón con signo de + para acceder a los contactos, de aquí sólo deja aplanado en cualquier contacto para ver su información.
KAPERSKY LAB DEJA MOSCÚ

KAPERSKY LAB DEJA MOSCÚ

Desde el año pasado, el Departamento de Seguridad Nacional de EE. UU. (DHS) y el Centro Nacional de Seguridad Cibernética (NCSC) del Reino Unido advirtieron sobre el uso del software de Kaspersky en sistemas de gobierno, citando así poderes legales en Rusia, lo que permite al estado tomar control sobre la empresa, creando miedo en sus clientes.

Las advertencias hicieron que Kaspersky Lab tuviera que asegurar a sus clientes que sus datos se manejan correctamente; esto parece ser una iniciativa de transparencia global.

Todo lo que tenga que ver con sus clientes fue movido a Zurich, donde tendrán que afrontar una auditoría.