Las nueve peores violaciones de seguridad digital del siglo 21


Escrito por PC World imagen del articulo
El robo datos ocurre a diario, sin embargo, hay algunos casos memorables gracias a su magnitud. Sí, en nuestra lista está el pasado ataque masivo a la PS Network, pero hay mucho peores, pues el impacto del ataque no siempre se mide en la cantidad de datos robados, sino también en el tipo de información hurtada o en el método utilizado.

Hay casos que también fueron de importancia, pero estos son los que consideramos más importantes.


9. Monster.com


Fecha: Agosto 2007

Impacto: Robo de información confidencial de 1.3 millones de personas que buscan empleo. Misma que fue utilizada en una estafa masiva de phishing.
Lo peor: La tardía difusión de la noticia.


Piratas informáticos entraron en la biblioteca del sitio de EE.UU. de contratación en línea Monster Worldwide Inc. El portal dijo tras el robo de datos que el ataque fue lanzado con dos servidores en una empresa de alojamiento Web en Ucrania.

La compañía dijo que la información robada “se limitó” a los nombres, direcciones, números de teléfono y direcciones de correo electrónico y otros detalles, incluyendo números de cuentas bancarias. 

El problema era que Monster se enteró de la violación el 17 de agosto, pero no lo hizo público durante cinco días, haciendo que la información robada fuera utilizada para hacer un efectivo ataque de phishing, pues los usuarios no sabían que sus cuentas habían sido robadas.



8. Gawker Media

Fecha: Diciembre 2010

Impacto: Comprometidas las direcciones de correo electrónico y contraseñas de aproximadamente 1.3 millones de blogueros, además del robo del código fuente de Gawker.
Lo peor: El propio sitio web fue perjudicado.

Los foros en línea y los blogs son uno de los objetivos más populares de los piratas informáticos. Un grupo que se autodenomina Gnosis se atribuyó la responsabilidad del ataque, diciendo que lo había puesto en marcha por la "arrogancia absoluta" de Gawker hacia la comunidad hacker. 

"Gawker no tenía la seguridad necesaria para enfrentar a prácticamente ningún hacker. No estaba a la altura de otros sitios más grandes", dijo el director del Proyecto KNOS, Kevin McAleavey, quien agregó que el principal problema era que las contraseñas almacenadas en Gawker tenían un formato que fue muy fácil para los hackers entender. "Algunos usuarios utilizan la misma contraseña para el correo electrónico y Twitter, y era sólo cuestión de horas antes de que los piratas secuestraran a sus cuentas y comenzaran a utilizarlas para enviar Spam”.


7. VeriSign

Fecha: A lo largo de 2010

Impacto: Robo de información “privilegiada”

Lo peor: Fue manchada la imagen de una empresa dedicada a seguridad digital.


Los expertos en seguridad son unánimes al decir que lo más preocupante de la violación de VeriSign es que los piratas informáticos obtuvieron acceso a los sistemas e información privilegiada. VeriSign no anunció los ataques, sino que los incidentes se hicieron públicos  hasta 2011.

¿Cuántas veces fueron atacados? ¿Qué tipos de ataque se utilizaron? Al día de hoy esa información es un misterio, lo que es seguro es que los medios de comunicación que difundieron la noticia comentaban que la información robada era muy importante.

Al parecer, el caso aún sigue abierto y no han encontrado a los culpables, pues no se ha dado alguna actualización del caso, ni por parte de Verisign ni por filtraciones de la Web.


6. AOL

Fecha: 06 de agosto 2006

Impacto: Robo de los datos de más de 20 millones de consultas web de más de 650,000 usuarios, incluidos datos de sus compras y datos bancarios.
Lo peor: El error digno de ser parte de la lista "Los 10 grandes errores humanos de la era digital".


Este no fue un robo, pero la gran cantidad de usuarios afectados amerita que lo incluyamos en esta lista. Pero si no fue un robo ¿Qué fue lo que expuso los datos?

Michael Arrington,  abogado y fundador de TechCrunch, publicó en su momento un comentario en su blog diciendo: "La estupidez de esto es asombroso." 

El Dr. Abdur Chowdhury, director del departamento de investigación de datos de AOL publicó por accidente un archivo de texto comprimido en uno de sus sitios web que contienía 20 millones de palabras clave de búsqueda de 650,000 usuarios durante un período de tres meses. Si bien estaba previsto para fines de investigación, se publicó por error. 

AOL sacó el archivo del acceso público al día siguiente, no antes de que se se hubiera distribuido masivamente en internet

El incumplimiento llevó a la renuncia del director de tecnología de AOL, Maureen Govern, el 21 de agosto de 2006.


5. Google / otras empresas de Silicon Valley

Fecha: Mediados de 2009

Impacto: Propiedad intelectual robada.
Lo peor: Varias empresas transnacionales se vieron afectadas de uno solo ataque.

En un acto de espionaje industrial, el gobierno chino lanzó un ataque masivo y sin precedentes a Google, Yahoo, y docenas de otras empresas de Silicon Valley. Los hackers chinos aprovecharon de una debilidad en una versión antigua de Internet Explorer para obtener acceso a la red interna de Google. Se anunció por primera vez que China estaba tratando de recopilar información sobre activistas chinos. No se sabe exactamente lo que los datos fueron robados de las compañías norteamericanas, pero Google admitió que datos sobre su propiedad intelectual habían sido. Para los usuarios el mensaje urgente es que actualicen su navegador web inmediatamente.


4. CardSystems Solutions

Fecha: Junio 2005

Impacto: 40 millones de cuentas de tarjetas de crédito al descubierto gracias a un ataque CSS a uno de los principales procesadores de pagos de Visa, MasterCard y American Express.
Lo peor: La falta de cuidado y corrupción por parte de la empresa encargada de supervisar la seguridad del sitio.

Los hackers irrumpieron en la base de datos de CardSystems con un ataque troyano SQL, que inserta código en la base de datos a través de la página del navegador. Este ataque se repetía cada cuatro días y colocaba los datos en un archivo zip y lo enviaba a los responsables del ataque.
 
Dado que la información robada de sus clientes no estaba cifrada los hackers tuvieron acceso a nombres, números de cuentas y códigos de verificación de más de 40 millones de titulares de tarjetas. 

Un portavoz de Visa, Rosetta Jones, le dijo a Wired News que tenían una certificación de auditoría de junio de 2004 que era compatible con los estándares de almacenamiento de datos, pero al final se decubrió que dicha certificación tenía “irregularidades”. "Si hubieran seguido las normas y requisitos, no hubieran tenido que pasar por esto", dijo Jones. La compañía fue adquirida por Pay-by-touch a finales de 2005.


3. Fidelity National Information Services

Fecha: Julio 2007

Impacto: Un empleado de los servicios de Certegy Check robó 3.2 millones de registros de clientes, incluyendo información bancaria y personal.
Lo peor: Tardaron meses en dar a conocer la noticia, poniendo en riesgo a las víctimas, así como la cantidad monetaria que tuvieron que invertir para indemnizar a los involucrados.

Red Mundial informó que el robo fue descubierto en mayo de 2007 pero que el robo no fue revelado hasta julio del mismo año.

El hurto lo llevó a cabo el mismo administrador de la base de datos, William Sullivan. Supuestamente, vendió los datos por una cantidad no revelada a un corredor de datos, que a su vez los vendió a empresas de comercialización. 

Una demanda colectiva fue presentada contra la FIS y una de sus afiliadas, por negligencia en relación a la violación de datos. Sullivan accedió a declararse culpable por los cargos de fraude federal y fue condenado a cuatro años y nueve meses de prisión y a pagar una multa de $ 3.2 millones. 

El 7 de julio de 2008 se llegó a un acuerdo de demanda colectiva que otorgaba a cada persona cuya información financiera fue robada a un máximo de U$D 20,000 por las pérdidas provocadas por robo de identidad.


2. Sony PlayStation Network

Fecha: 20 de abril 2011

Impacto: 77 millones de cuentas hackeadas de PlayStation Network. 

Lo peor: Posiblemente el ataque que más cuentas de datos ha obtenido. Hackers atacaban a placer los sitios de Sony 
dejando en ridículo a Sony por no poder frenarlos. Se dijo que perdió millones mientras el sitio de PlayStation Network estuvo caído por todo un mes.


Es considerada la peor violación de datos a una comunidad de juegos de todos los tiempos. De las más de 77 millones de cuentas afectadas, 12 millones contenían información de el número de tarjetas de crédito, pero Sony aseguró que esta información estaba cifrada y lejos de las manos de los hackers. De acuerdo con Sony, aún no ha encontrado a los culpables de este ataque, que tuvieron acceso a nombres, contraseñas, correos electrónicos, direcciones, historial de compras y números de tarjetas de crédito. Simplemente, un ataque que nos recordó que no por ser grande y poderosa una empresa puede tener un buen sistema de seguridad digital.


1. ESTsoft

Fecha: julio-agosto 2011

Impacto: Los datos personales de 35 millones de Corea del Sur fueron expuestos después de que piratas violaron la seguridad de un proveedor de software popular.

Lo peor: Interéses políticos se vieron mezclados entre dos naciones tensando su ya difícil situación. El ataque 
afectó a la mayoría de la población.

Se le llamo a éste el robo de información más grande de Corea del Sur en la historia. Agencias de noticias de Corea del Sur informaron que las direcciones IP de los atacantes provenían de China, por lo que culparon directamente a este país por el ataque. Los atacantes fueron capaces de robar los nombres, IDs de usuario, contraseñas hash, fechas de nacimiento, sexo, direcciones, números de teléfono y direcciones de correo contenidas en una base de datos conectada a la misma red. Kim Jang-joon , director general de ESTsoft, se disculpó y se comprometió a "fortalecer el sistema de seguridad de nuestros programas."

Share on Google Plus

About Unknown

This is a short description in the author block about the author. You edit it by entering text in the "Biographical Info" field in the user admin panel.

0 comentarios :

Publicar un comentario

Facebook