Hackeó una Aerolínea para recuperar su equipaje, Elon Musk es el Mayor Accionista de Twitter y más.
En el notihack de esta semana:
- Descubren vulnerabilidad crítica en GitLab
- Solo quedan 2 millones de bitcoins por minar
- Programador hackeó una aerolínea para recuperar su equipaje
- Red social de Trump es calificada como un desastre
- Hackers vulneraron una reconocida empresa de Marketing
- Elon Musk se convirtió en el mayor accionista de Twitter
Una vulnerabilidad de GitLab permite a atacantes tomar el control de cuentas de usuario
Una investigación interna reveló una vulnerabilidad en GitLab que permitiría a un atacante remoto tomar el control de cuentas de usuarios por culpa de contraseñas que se encontraban en el código de la aplicación. Esta es una práctica de seguridad muy criticada, pues no son pocas las veces en las que han encontrado contraseñas con acceso total en el código de una aplicación.
La vulnerabilidad identificada como CVE-2022-1162 afecta tanto a GitLab Community Edition como a la Enterprise Edition. Es decir, todos los usuarios de GitLab deben estar al tanto y actualizar tan pronto como sea posible, ya que es la única solución real al problema. Las contraseñas afectan a cuentas registradas a través de un proveedor OmniAuth, por ejemplo, OAuth, LADP o SAML.
GitLab instó a los usuarios a actualizar de inmediato todas las instalaciones de GitLab a las últimas versiones para bloquear posibles ataques.
Asimismo, GitLab afirmó que restableció las contraseñas de un número limitado de usuarios de GitLab.com como parte del esfuerzo de mitigación de la vulnerabilidad.
La empresa tampoco encontró evidencia de que los atacantes hayan comprometido ninguna cuenta utilizando esta vulnerabilidad.
Según el aviso de seguridad, GitLab no encontró indicios de que los usuarios o las cuentas se hayan visto comprometidas, pero tomaron medidas de precaución para la seguridad de los usuarios.
Si bien GitLab dice que hasta ahora no se han vulnerado cuentas de usuario, la compañía creó un script que los administradores de instancias autogestionadas pueden usar para identificar las cuentas de usuario potencialmente afectadas por la vulnerabilidad.
Después de identificar las cuentas de usuario potencialmente afectadas, es recomendable que los administradores restablezcan las contraseñas de los usuarios.
Más de 100,000 organizaciones usan la plataforma DevOps de GitLab, y la compañía estima que tiene más de 30 millones de usuarios registrados de 66 países en todo el mundo.
Se alcanzó el hito de los 19 millones de bitcoins, solo quedan 2 millones por minar
El décimo noveno millón de Bitcoins se minó el pasado viernes, un evento histórico para la criptomoneda número uno. Diecinueve millones de Bitcoins están ahora en circulación. Es decir, solo quedan 2 millones de Bitcoins por minar; evento que ocurrirá aproximadamente en el año 2140.
Este suceso es trascendental y como tal la comunidad de Bitcoin celebró el evento histórico.
El CEO de Kryptovault, Kjetil Hove Pettersen reafirmó que solo quedan 2 millones de bitcoins por minar. Pero, además enfatizó que si bien muchos podrían creer que se trata de un número pequeño, los mejores días de la minería aún están por venir.
Otro miembro de la comunidad de Twitter hizo alusión al hecho de que tomaría los próximos 120 años minar los bitcoins restantes.
Si bien no hay duda de que la comunidad de Bitcoin está presenciando un evento monumental en el hito de la minería, uno no puede evitar preguntarse qué sigue después de este increíble hito para la criptomoneda.
Lo primero que debe tenerse en cuenta es que, si bien el Bitcoin tardó 13 años en minar 19 millones de unidades, los 2 millones restantes no se minarán durante al menos los próximos 120 años, un indicio de cuán escasa será la criptomoneda.
Otra cosa importante a tener en cuenta es que se espera que la recompensa por bloque actual de 6.25 bitcoins baje a menos de 4 bitcoins para 2024.
Curiosamente, a pesar de la disminución del número de recompensas mineras, el Bitcoin ha sido diseñado para que los mineros permanezcan motivados para seguir minando.
La comunidad cripto también ha opinado que la consiguiente escasez de Bitcoin ayudaría a aumentar el precio del activo, y algunos pronosticaron un precio base de 1 millón de dólares.
En conclusión, el conocimiento de que hay menos de 2 millones de unidades de la moneda haría que ballenas como Luna, MicroStrategy, El Salvador y otros compitieran con un mayor nivel de escasez entre ellos.
Un ingeniero hackeó el sitio web de un aerolínea para recuperar su equipaje perdido
Las situaciones extremas requieren medidas extremas tal como lo demostró un sujeto que perdió su equipaje.
Un ingeniero de software logró acceder a la base de datos de la página web de una aerolínea de la India para recuperar su equipaje extraviado.
Nadan Kumar, de 28 años, ingresó a la base de datos de la compañía aérea IndiGo y encontró los detalles de contacto de un pasajero que se había llevado su equipaje por error.
El hombre compartió su hazaña en su cuenta de Twitter y se volvió rápidamente viral, tras explotar una “vulnerabilidad técnica” en el sistema de la aerolínea.
Kumar escribió que comenzó por comunicarse con el servicio de atención al cliente de la compañía, para solicitar el número de teléfono o el correo electrónico del otro pasajero, pero le informaron que no se podían revelar datos personales de otros clientes.
Ante la falta de respuesta, Kumar decidió ponerse manos a la obra por sí mismo y, usando el número de registro del nombre del otro pasajero (PNR, por sus siglas en inglés), presente en la tarjeta de embarque que también por error había sido intercambiada con la suya, pudo acceder a los datos de la reserva que estaban en la base de datos del sitio web de la aerolínea.
Kumar afirmó que logró su momento hacker después de que todos los intentos fallaron; su instinto de desarrollador se activó y presionó F12 en el teclado de su computadora, abrió la consola de desarrollador desde la página web de IndiGo y comenzó el flujo de verificación con el registro de la red activado.
Finalmente encontró el número de teléfono y el correo electrónico del pasajero con quien se había intercambiado involuntariamente el equipaje. Estos datos le sirvieron para poder intercambiar sus equipajes.
El desarrollador realizó una serie de sugerencias a la aerolínea para que mejore su atención al cliente y la seguridad de su sitio web. No obstante, la empresa aseguró que siguieron sus protocolos de atención al cliente y que en “ningún momento la página web se vio comprometida”.
La red social de Trump no funciona al 100% y provoca la indignación de sus usuarios
Tal cómo te lo contamos hace unas semanas, el expresidente Donald Trump lanzó su propia red social bajo la premisa de “defender la libertad de expresión y evitar la censura de otras redes sociales”.
Más de 30 días después, TRUTH Social, la red social propiedad de Donald Trump, incumplió otra fecha límite para hacer realidad su promesa de estar “totalmente operativa” en Estados Unidos para finales de marzo.
Tras el lanzamiento de su versión inicial el 21 de febrero, TRUTH Social se posicionó como la ‘app’ gratuita más demandada en la tienda de aplicaciones de Apple.
Sin embargo, muchos de los usuarios que la descargaron experimentaron problemas para crear una cuenta y otros fueron colocados en lista de espera, aparentemente por una demanda masiva.
El jefe ejecutivo de TRUTH Social, el excongresista republicano Devin Nunes, dijo posteriormente que el objetivo era que la aplicación estuviera “totalmente operativa” en Estados Unidos para fines del mes pasado, algo que no ocurrió, ya que los usuarios siguen reportando problemas y muchos otros continúan en la lista de espera.
Esta situación es preocupante para la plataforma, ya que varios seguidores de Trump invirtieron en una Compañía con Propósito Especial de Adquisición (SPAC, por sus siglas en inglés) que acordó hacer pública TRUTH Social. En otras palabras, los seguidores podrían perder sus inversiones si la aplicación no logra estar operativa para todo el que desee usarla.
Fuentes cercanas al tema le dijeron al medio Axios que la SPAC está bajo investigación federal y que el sábado pasado no cumplió con una fecha límite de presentación de documentos.
Las acciones de la SPAC se han desplomado un 35 % desde el 4 de marzo y un 64% desde su máximo histórico.
Esta semana, la cuenta de Trump en TRUTH Social ganó más de 800,000 seguidores, pero el propio expresidente no ha realizado ninguna publicación desde antes de la fecha de lanzamiento original.
Ciberdelincuentes hackearon Mailchimp para robar billeteras de criptomonedas
La reconocida plataforma especializada en marketing por correo electrónico Mailchimp confirmó recientemente que hackers utilizaron una herramienta interna para robar datos de más de 100 de sus clientes. Como era de esperar, los datos fueron utilizados para realizar ataques de phishing contra los usuarios de servicios de criptomonedas.
El incidente fue confirmado a la prensa por Mailchimp el lunes, pero salió a la luz durante el fin de semana cuando los usuarios de la billetera de criptomonedas de hardware Trezor reportaron que fueron atacados por sofisticados correos electrónicos de phishing.
El jefe de seguridad de Mailchimp, Siobhan Smyth, dijo que la empresa se percató del incidente el 26 de marzo cuando detectó el acceso no autorizado a una herramienta utilizada por los equipos de atención al cliente y administración de cuentas de la empresa. Aunque Mailchimp desactivó las cuentas de los empleados comprometidos después de enterarse de la intrusión, los hackers aún pudieron ver alrededor de 300 cuentas de usuario de Mailchimp y obtuvieron datos de 102 de ellas.
Sin embargo, los detalles del hackeo muestran que el compromiso de las herramientas internas de Mailchimp fue solo una pieza de un rompecabezas más grande. Una de las listas de correo electrónico robadas se usó para enviar una notificación de violación de datos falsa a los clientes de Trezor, instándolos a descargar una nueva versión de la aplicación de escritorio Trezor Suite. De hecho, el correo electrónico dirigía a los usuarios a un sitio de phishing que albergaba una versión falsa de la aplicación. La versión falsa estaba diseñada para robar la frase inicial que permitiría a los ciberdelincuentes obtener el control total de la billetera de criptomonedas de un usuario. Actualmente no está claro si a algún usuario de Trezor le robaron fondos por el ataque.
Trezor dijo que el ataque fue “excepcional en su sofisticación y… claramente planeado con un alto nivel de detalle”. Hasta el momento, el análisis de Mailchimp concluyó que los atacantes se centraron en obtener datos de los usuarios en los sectores de criptomonedas y finanzas.
Ante tal situación, si eres usuario de dispositivos Trezor, debes reportar cualquier intento de phishing directamente a security@trezor.io.
Elon Musk compró el 9.2% de Twitter y se convirtió en el mayor accionista de la empresa
Sin duda alguna, Elon Musk es toda una celebridad en el mundo de la informática. En meses anteriores acaparó titulares por apadrinar algunas criptomonedas. Ahora es noticia por comprar acciones es una de las redes sociales más utilizadas.
Hace unos días, Elon Musk adquirió una participación del 9.2% en Twitter para convertirse en el mayor accionista de la plataforma; el suceso ocurrió una semana después de insinuar que podría revolucionar la industria de las redes sociales.
Como era de esperar, las acciones de Twitter subieron hasta un 27% después de que se revelara la compra de Musk el lunes en una presentación regulatoria. La ganancia marcó el mayor aumento intradiario de las acciones desde su primer día de cotización luego de la oferta pública inicial de la compañía en 2013.
Musk, de 50 años, encuestó a sus más de 80 millones de seguidores en Twitter el mes pasado y les preguntó si la empresa se adhiere a los principios de la libertad de expresión. Después de que más del 70% dijo que no, preguntó si se necesitaba una nueva plataforma y dijo que estaba pensando seriamente en comenzar la suya propia.
Musk ha sido una de las personalidades más importantes de Twitter y regularmente ha tenido problemas en la plataforma. El director ejecutivo de Tesla actualmente está tratando de salir de un acuerdo de 2018 con la Comisión de Bolsa y Valores de Estados Unidos que estableció controles relacionados con sus tuits sobre el fabricante de automóviles eléctricos.
El anuncio será otra prueba importante para el nuevo CEO de Twitter, Parag Agrawal, quien reemplazó a Jack Dorsey después de que renunció inesperadamente en noviembre.
No está claro qué planea Musk con su participación. Aparentemente no busca adquirir el control de la empresa o influir en quién la controla. Sin embargo, todos sabemos que Musk es impredecible.