Filtran 400 cuentas de DROPBOX con sus claves

Se han filtrado según publicación de PASTEBIN 6,937,081 cuentas de Dropbox, pero solo han publicado 400 cuentas con sus respectivas contraseñas, las mismas que comienzan con B. En reddit se comenta que algunos cuentas han accedido con los datos publicados.

Dropbox no ha sido hackeada,  ha publicado la empresa, Todo apunta a algún servicio de un tercero que ha tenido una falla de seguridad que ha permitido no solo sacar las cuentas de correo de usuarios de Dropbox, si no también mostrar las contraseñas en texto plano, por lo que el servicio que fuese, no estaba almacenando las contraseñas de forma segura y cifrada.

Por lo que se recomiendan habilitar la autenticación en dos pasos.

Hasta la próxima!

Jolucapi

Tus datos no te lo roban, ¡Los regalan!

Es lamentable ver como tus datos personales pueden ser difundidos sin ningún control, pensando que de pronto nadie se va dar cuenta de los servicios que se publican en internet,  de que sirve que los usuarios traten de evitar que su información personal sea expuesta, cuando en las entidades quien se “SUPONE” deben brindar seguridad con la información que les proporcionas al momento de ser su usuario o su cliente.

Hace unos meses googleando en internet me topé con este sitio web http://www.gescom.com.ec/ de la empresa GESCOM SA en el cual publicaba unos directorios que me entro curiosidad y al revisarlos pude evidenciar que se trataba de carteras de clientes donde se detallaban toda la información relevantes de cada uno de ellos.

¿Pero a que entidad financiera pertenecían esta base de datos de clientes?, no era difícil de averiguar ya que los directorios tenían los nombres.

Entre las cuales se encuentran H Metropolitano, UNICEF, ACESeguros

Los archivos Excel que estaban disponibles contenían los detalles de sus clientes, a continuación una captura de pantalla del archivo:

 

Pues al final me puse en contacto con ellos en la cual les informe lo que estaba sucediendo me respondieron por email que me contacte por teléfono, pero no tomaron carta en el asunto, así que espere el próximo mes y vi que se actualizó con los datos del mes siguiente, nuevamente me contacte, en esta ocasión vía telefónica, después de los típicas trasferencias de los CALL CENTER, les explique la situación y posteriormente la corrigieron.

Hasta la próxima

Jolucapi

Analizando Metadatos en caso sonado de plagio de Tesis - Jorge Glass

Preparando una charla para seguridad en documentos, estaba buscando casos para poder citarlos en la misma, me acorde del proceso que tuvo que enfrentar la ESPOL referente al plagio de la tesis en la que se había copiado alrededor de 50 páginas sin citar ninguna fuente.

Lo primero que hice fue ingresar al sitio de DSpace y buscar la tesis

 

 

Procedí a descargar el archivo D-93762.pdf y analizarlo con la herramienta FOCA de ElevenPaths

El análisis no ayuda con muchos datos, pero si hay algunas cosas como que no terminan de cuadrar que detallo a continuación:

1.       Fecha de Publicación, la fecha de publicación del sitio de Dspace de la ESPOL no guarda consistencia con la fecha de creación y modificación del archivo.

2.       Tamaño, el tamaño indicado del sitio Dspace tampoco guarda consistencia con el tamaño real del archivo, hay una diferencia de 6 MB.

Lo que me llama bastante la atención es que la fecha de creación y modificación del archivo de la tesis, tiene de diferencia tan solo días de que la noticia se dio a conocer o salió a la luz.



Autenticación en 2 pasos (2º factor de autenticación)

Debido al reciente acontecimiento de iCloud sobre el celebgate, lo bueno es que los usuarios se han concienciado sobre la seguridad en el uso de sus identidades digitales en internet, es por ello que los servicios más comunes como Facebook, Twitter, Gmail han implementado el segundo factor de autenticación.

 La pregunta es ¿Qué son los factores de autenticación?:

Primer Factor: algo que sé (por lo general usuario y contraseña)

Segundo Factor: algo que sé + algo que tengo (ejemplo, tarjeta de la identificación, símbolo de la seguridad, símbolo del software o teléfono celular)

Tercer Factor: algo que sé + algo que tengo + quien soy (la huella digital o el patrón retiniano, la secuencia de ADN, el patrón de la voz)

Ahora que  conocemos los factores de autenticación nos damos cuenta que hemos usado un solo factor para nuestros identidades digitales, haciéndonos vulnerables a ataques de fuerza bruta en el caso de que conozcan nuestro nombre de usuario o que en ocasiones es nuestro dirección de correo electrónico que hayamos definido. Es por esto que siempre recomienda que la contraseña deba ser robusta cumpliendo ciertos parámetros de complejidad.

¿Cómo los servicios de internet o las aplicaciones nos protegen contra este tipo de ataques?, simplemente, es llevar un control sobre el número de intentos fallidos que realiza un usuario o desde una dirección IP al momento de hacer login, después de varios intentos fallidos hay un tiempo de bloqueo.

Pues si súper simple.. Hasta lo que se conoce así fue explotada iCloud.

Facebook,Twitter,iCloud,Wordpress,Gmail tienen disponible la doble autenticación. No es obligatorio su uso, pero es altamente recomendable, a continuación explico cómo habilitarlas:

Gmail

Es sencillo para habilitarlo tienes que instalar la aplicación de Google para smartphones, llamada 'Google Authenticator', la que te entrega una secuencia de números que van cambiando frecuentemente (como los dispositivos de seguridad bancaria), y que debes ingresar cada vez que intentas loguearte desde un computador no registrado.

La aplicación está disponible para Blackberry, iOS y Android, y es bastante sencilla de configurar. La excepción está si quieres ingresar a tu cuenta de Gmail a través de Outlook, Apple Mail o Thunderbird, así como Gmail o Google Calendar en smartphones más antiguos, donde deberás crear contraseñas específicas para cada una de estas aplicaciones.

Facebook

Para habilitarlo, en la aplicación vas al menú de opciones, ingresar a 'Configuración de la cuenta', luego a 'Seguridad', y habilitar la opción de 'Generador de códigos'.

Al activar esta opción, cada vez que ingreses a Facebook desde un computador que no tengas registrado en tu cuenta, deberás abrir la aplicación de Facebook en tu smartphone, ingresar al menú y descender hasta 'Generador de códigos' (el que está casi al final de todas las opciones disponibles).

Twitter

Debes ingresar a la configuración de tu cuenta ya sea desde la app o desde la web, te vas a 'Seguridad', y activar la opción 'Verificación de inicio de sesión'.

Al seleccionar la opción de enviar peticiones de verificación de inicio de sesión a la aplicación de Twitter para smartphones deberás aprobar con tu celular cada vez que intentes ingresar a tu cuenta desde cualquier computador no registrado.

Espero que te sirvan, nos vemos hasta la próxima.

Cerrar sesión de facebook

¿Sabías que Facebook guarda tres variantes de tu contraseña?

Facebook entre sus ayudas para la usabilidad de su aplicación, no lo reconoce como un  fallo de seguridad

Cuáles son las variantes que acepta Facebook como tus contraseñas:

1.   Activado BloqMayus: lo que hace es una inversión de tu contraseña, es decir si tu password es cLaVe2014, también acepta ClAvE2014. Hasta el momento llevas dos contraseñas
2. Clave que empieza con minúsculas: si tu clave empieza con minúscula cLaVe2014, también te va aceptar CLaVe2014, esto se debe En muchos controles de tablets, cuando se pulsa sobre un campo para introducir un texto, por usabilidad se activa la tecla de Mays solo para la primera letra. Y esta sería la tercera variante de tu contraseña.

Por lo tanto al establecer una contraseña en Facebook, en realidad son tres contraseñas la que estableces, solo porque las opciones de usabilidad se sobreponen a la seguridad, que consiguen con esto, logran reducir problemas de soporte con los usuarios, teniendo en cuenta el incremento de uso de Smartphone donde fácilmente se puede confundir con la activación de mayúsculas.

Fuente

Elladodelmal

Gestionar tus contraseñas

Actualmente hay una gran cantidad de aplicaciones, y servicios que usamos tanto en el trabajo como personal, y a quien no le ha pasado que cuando desean ingresar a una de estas, se han olvidado la contraseña o no recuerdan el usuario que definieron, y es ahí cuando comienzan a tratar de especificar usuarios y contraseñas iguales para todos estos servicios y en ocasiones se deja de lado el tema de seguridad con la finalidad de que se fácil de recordar, siendo uno de los peores errores asignar la misma contraseña para todos los servicios y aplicaciones.

Para ello les voy a detallar herramientas que te ayudaran a gestionar todas las contraseñas con tus usuarios de tal forma que no tengas que arriesgar tu seguridad con la finalidad de recordarlas.

comencemos:

1. LastPass es un complemento para navegadores – plugin – que está disponible para los navegadores más utilizados, como son Internet Explorer, Firefox, Chrome o Safari, y que permite gestionar contraseñas de distintos sitios/servicios Web y aplicaciones.

2. KeePassX es un gestor de contraseñas multiplataforma que permite guardar diversa información como nombres de usuario, contraseñas, direcciones web, archivos adjuntos, comentarios, etc. en una base de datos. La base de datos está cifrada mediante AES o Twofish utilizando una clave de 256 bits o bien un archivo del sistema; de este modo, la base de datos únicamente podrá abrirse mediante dicho archivo que podrá estar almacenado en cualquier soporte (USB, CD, etc). El formato empleado por KeePassX en su base de datos es compatible con KeePass Password Safe. Además KeePassX ofrece una pequeña utilidad para la generación de contraseñas seguras de forma rápida y sencilla.

KeePassX permite gestionar la información en grupos para una mayor organización, pudiendo crear tantos grupos como necesite el usuario final y permitiendo realizar copias de seguridad de los mismos de manera independiente.

 

3. Lockcrypt es una aplicación para generar y almacenar contraseñas. La forma de trabajar es a partir de un perfil, o usuario, creamos subgrupos (por ejemplo, bancos, subastas, tiendas, correo) y en cada subgrupo añadimos cuentas, las cuales pueden tener distintos formatos, acceso web, correo electrónico etc. Esta opción se puede configurar muy fácilmente. Esta herramienta también dispone de un generador de contraseñas que podemos configurar, y como se almacenan, no importa que sean muy complejas, siempre las tenemos a mano.

Aunque la instalación está en Inglés, según se inicia la aplicación, aparece un selector de idioma, donde podemos seleccionar el nuestro.

Todas estas claves se almacenan en un fichero que podemos llevar en un pendrive, enviarlo por correo electrónico... para poder abrirlo en otro ordenador que tenga instalado el programa.

 

4. Passpack es un servicio de gestor de contraseñas online. Sirve para poder almacenar todas las contraseñas (en la versión gratuita hasta 100) que utilizamos, pudiendo acceder a ellas desde cualquier equipo que tenga acceso a Internet. La forma de trabajo es simple, una vez que creemos una cuenta (se puede acceder al servicio con las credenciales de servicios como Gmail, Hotmail, yahoo, Facebook, Twitter y alguno más) pedirá una contraseña de empaquetado (una segunda contraseña) para más seguridad.
Cuando se acceda al servicio, además de la credenciales (nombre de usuario y contraseña o credenciales de otro servicio) hay un control CAPTCHA que hay que hacer clic en el cuadrado negro y después introducir la segunda contraseña y accedemos a nuestras contraseñas.
Tiene un generador de contraseñas configurable y muy simple.

 

5. KeePass Password Safe es una herramienta que sirve para almacenar contraseñas de forma segura. Te permite recordar todas las contraseñas, claves de acceso y nombres de usuario que necesites para acceder a una cuenta o página de Internet. La información se almacena cifrada y sólo puedes acceder a ella a través de una contraseña maestra que deberás memorizar.

 

Para finalizar espero que sean de su ayuda el uso de estas herramientas.

 

Nos vemos en la próxima....

 

Fuente: Inteco