Una nota más ligera del Departamento de Malas Noticias de TechCrunch
A veces, sin embargo –aunque raramente– hay destellos de esperanza que queremos compartir. Porque hacer lo correcto, incluso (y especialmente) ante la adversidad, ayuda a que el mundo cibernético sea un poco más seguro.
Bangladesh agradece al investigador de seguridad por descubrir la filtración de datos de ciudadanos
Cuando un investigador de seguridad descubrió que un sitio web del gobierno de Bangladesh estaba filtrando información personal de sus ciudadanos, claramente algo andaba mal. Viktor Markopoulos encontró los datos expuestos gracias a un resultado de búsqueda de Google almacenado en caché inadvertidamente, que expuso los nombres, direcciones, números de teléfono y números de identificación nacional de los ciudadanos del sitio web afectado. TechCrunch verificó que el sitio web del gobierno de Bangladesh estaba filtrando datos, pero los esfuerzos por alertar al departamento gubernamental inicialmente fueron recibidos en silencio. Los datos eran tan confidenciales que TechCrunch no podía decir qué departamento gubernamental estaba filtrando los datos, ya que hacerlo podría exponerlos aún más.
Fue entonces cuando el Equipo de Respuesta a Incidentes de Emergencia de TI del país, también conocido como CIRT, se puso en contacto y confirmó que la fuga de la base de datos se había solucionado. Los datos provinieron nada menos que de la oficina de registro de nacimientos, defunciones y matrimonios del país. CIRT confirmó en un aviso que resolvió la filtración de datos y que no dejó “piedra sin remover” para entender cómo se produjo la filtración. Los gobiernos rara vez manejan bien sus escándalos, pero un correo electrónico del gobierno al investigador agradeciéndole por descubrir e informar el error muestra la voluntad del gobierno de involucrarse en la ciberseguridad donde muchos otros países no lo harán.
Apple tira el fregadero de la cocina ante su problema de software espía
Ha pasado más de una década desde Apple abandonó su ahora infame afirmación que las Mac no contraen virus de PC (lo cual, aunque técnicamente es cierto, esas palabras han plagado a la empresa durante años). Hoy en día, la amenaza más acuciante para los dispositivos Apple es el software espía comercial, desarrollado por empresas privadas y vendido a gobiernos, que puede perforar las defensas de seguridad de nuestros teléfonos y robar nuestros datos. Se necesita valor para admitir un problema, pero Apple hizo precisamente eso al lanzar parches de Security Rapid Response para corregir errores de seguridad explotados activamente por los fabricantes de software espía.
Apple lanzó su primera “revisión” de emergencia a principios de este año para iPhones, iPads y Macs. La idea era lanzar parches críticos que pudieran instalarse sin necesidad de reiniciar el dispositivo (posiblemente el problema para quienes se preocupan por la seguridad). Apple también tiene una configuración llamada Modo de bloqueo, que limita ciertas funciones en un dispositivo Apple que normalmente son objetivo del software espía. Apple dice que no tiene conocimiento de nadie que haya usado el modo de bloqueo y que posteriormente haya sido pirateado. De hecho, los investigadores de seguridad dicen que el modo Lockdown bloqueó activamente los ataques dirigidos en curso.
El gobierno taiwanés no parpadear antes de intervenir después de una violación de datos corporativos
Cuando un investigador de seguridad le dijo a TechCrunch que un servicio de viajes compartidos llamado iRent, administrado por el gigante automotriz taiwanés Hotai Motors, estaba publicando datos de clientes actualizados en tiempo real en Internet, parecía una solución simple. Pero después de una semana de enviar correos electrónicos a la empresa para abordar la fuga de datos en curso (que incluía nombres de clientes, números de teléfonos celulares y direcciones de correo electrónico, así como verificaciones de licencias de clientes), TechCrunch nunca recibió una respuesta. Sólo cuando contactamos al gobierno taiwanés pidiendo ayuda para dar a conocer el incidente recibimos una respuesta. inmediatamente.
Una hora después de contactar al gobierno, la ministra de Asuntos Digitales de Taiwán, Audrey Tang, le dijo a TechCrunch en un correo electrónico que la base de datos expuesta fue marcada por el Equipo de Respuesta a Incidentes de Emergencia Informática de Taiwán, TWCERT, y fue eliminada. La rapidez con la que respondió el gobierno taiwanés fue increíblemente rápida, pero eso no fue todo. Posteriormente, Taiwán multó a Hotai Motors por no proteger los datos de más de 400.000 clientes y se le ordenó mejorar su ciberseguridad. A continuación, el viceprimer ministro taiwanés, Cheng Went-san, dijo que la multa de alrededor de 6.600 dólares estadounidenses era “muy leve” y propuso un cambio en la ley que aumentaría diez veces las multas por violaciones de datos.
Los sistemas de registros judiciales filtrados en EE. UU. han activado el tipo de alarma adecuado
En el corazón de cualquier sistema judicial se encuentra el sistema de registros judiciales, la pila de tecnología utilizada para enviar y almacenar documentos legales confidenciales para los procedimientos judiciales. Estos sistemas suelen estar en línea y permiten realizar búsquedas, al mismo tiempo que restringen el acceso a archivos que de otro modo podrían comprometer un proceso en curso. Pero cuando el investigador de seguridad Jason Parker encontró varios sistemas de registros judiciales con errores increíblemente simples que podían explotarse usando solo un navegador web, Parker supo que necesitaba asegurarse de que esos errores estuvieran solucionados.
Parker encontró y reveló ocho vulnerabilidades de seguridad en los sistemas de registros judiciales utilizados en cinco estados de EE. UU., y eso fue solo en su lanzamiento del primer lote. Algunas de las fallas se han corregido y otras siguen pendientes, y las respuestas de los estados han sido mixtas. El condado de Lee, Florida, adoptó la postura dura (y autocontrolada) de amenazar al investigador de seguridad con las leyes anti-piratería de Florida. Pero las revelaciones también enviaron el tipo de alarma adecuado. Varios CISO estatales y funcionarios responsables de los sistemas de registros judiciales en EE. UU. vieron la divulgación como una oportunidad para inspeccionar las vulnerabilidades en sus propios sistemas de registros judiciales. Govtech está en quiebra (y desesperadamente desatendida), pero contar con investigadores como Parker encontrar y revelar fallas obligatorias hace que Internet sea más seguro (y el sistema judicial más justo) para todos.
Google eliminó las órdenes de geovalla, aunque más vale tarde que nunca
Fue la avaricia de Google, impulsada por los anuncios y el crecimiento perpetuo, lo que preparó el escenario para las garantías de geocerca. Estas llamadas órdenes de registro «inversas» permiten a la policía y a las agencias gubernamentales profundizar en los vastos almacenes de datos de ubicación de los usuarios de Google para ver si alguien estaba cerca en el momento en que se cometió el delito. Más o La constitucionalidad (y la precisión) de estas órdenes inversas han sido cuestionadas. y los críticos han pedido a Google que ponga fin a la práctica de vigilancia que, para empezar, creó en gran medida. Y luego, justo antes de las vacaciones, el regalo de la privacidad: Google dijo que comenzaría a almacenar datos de ubicación en los dispositivos de los usuarios en lugar de hacerlo de manera centralizada, poniendo fin de manera efectiva a la capacidad de la policía para obtener la ubicación en tiempo real de sus servidores.
La acción de Google no es una panacea y no deshace años de daño (ni impide que la policía piratee datos históricos almacenados por Google). Pero puede incitar a otras empresas también sujetas a este tipo de órdenes de búsqueda inversa (hola, Microsoft, Snap, Uber y Yahoo (la empresa matriz de TechCrunch)) a hacer lo mismo y dejar de almacenar datos confidenciales de los usuarios de una manera que los haga accesibles al gobierno. demandas.
