Un divertido – pero es cierto: el chiste en TechCrunch es que el departamento de seguridad bien podría llamarse Departamento de Malas Noticias, ya que, bueno, ¿Has visto lo que hemos cubierto últimamente? Hay un suministro interminable de infracciones devastadoras, vigilancia generalizada y nuevas empresas poco fiables que azotan a los francamente peligrosos.
Sin embargo, a veces (aunque rara vez) hay destellos de esperanza que queremos compartir. Sobre todo porque hacer lo correcto, incluso (y especialmente) frente a la adversidad, ayuda a que el ámbito cibernético sea un poco más seguro.
Bangladesh agradeció a un investigador de seguridad por el descubrimiento de una filtración de datos de ciudadanos
Cuando un investigador de seguridad descubrió que un sitio web del gobierno de Bangladesh estaba filtrando información personal de sus ciudadanos, claramente algo andaba mal. Viktor Markopoulos encontró los datos expuestos gracias a un resultado de búsqueda de Google almacenado en caché inadvertidamente, que expuso nombres de ciudadanos, direcciones, números de teléfono y números de identidad nacional del sitio web afectado. TechCrunch verificó que el sitio web del gobierno de Bangladesh estaba filtrando datos, pero los esfuerzos por alertar al departamento gubernamental inicialmente se encontraron con el silencio. Los datos eran tan confidenciales que TechCrunch no pudo decir qué departamento gubernamental estaba filtrando los datos, ya que esto podría exponerlos aún más.
Fue entonces cuando el equipo de respuesta a incidentes de emergencia informática del país, también conocido como CIRT, se puso en contacto y confirmó que la base de datos con fugas había sido reparada. Los datos procedían nada menos que de la oficina de registro de nacimientos, defunciones y matrimonios del país. CIRT confirmó en un aviso público que había resuelto la filtración de datos y que no dejó “piedra sin remover” para entender cómo se produjo la filtración. Los gobiernos rara vez manejan bien sus escándalos, pero un correo electrónico del gobierno al investigador agradeciéndole por encontrar e informar el error muestra la voluntad del gobierno de involucrarse en materia de ciberseguridad donde muchos otros países no lo harán.
Apple tira el fregadero de la cocina ante su problema de software espía
Ha pasado más de una década desde Apple abandonó su ahora infame afirmación que las Mac no contraen virus de PC (lo cual, aunque técnicamente es cierto, esas palabras han plagado a la empresa durante años). Hoy en día, la amenaza más acuciante para los dispositivos Apple es el software espía comercial, desarrollado por empresas privadas y vendido a gobiernos, que puede perforar las defensas de seguridad de nuestros teléfonos y robar nuestros datos. Se necesita coraje para admitir un problema, pero Apple hizo exactamente eso al implementar correcciones de respuesta rápida de seguridad para corregir errores de seguridad explotados activamente por los fabricantes de software espía.
Apple lanzó su primera “revisión” de emergencia a principios de este año para iPhones, iPads y Macs. La idea era implementar parches críticos que pudieran instalarse sin tener que reiniciar siempre el dispositivo (posiblemente el problema para quienes se preocupan por la seguridad). Apple también tiene una configuración llamada Modo de bloqueo, que limita ciertas funciones del dispositivo Apple que normalmente son objetivo del software espía. manzana dice No tiene conocimiento de nadie que haya usado el modo de bloqueo y que posteriormente haya sido pirateado.. De hecho, Los investigadores de seguridad dicen que el modo de bloqueo ha bloqueado activamente los ataques dirigidos en curso..
El gobierno de Taiwán no parpadear antes de intervenir tras la filtración de datos corporativos
Cuando un investigador de seguridad le dijo a TechCrunch que un servicio de viajes compartidos llamado iRent, administrado por el gigante automotriz taiwanés Hotai Motors, estaba publicando datos de clientes actualizados en tiempo real en Internet, parecía una solución simple. Pero después de una semana de enviar correos electrónicos a la empresa para resolver la fuga de datos en curso, que incluía nombres de clientes, números de teléfonos móviles y direcciones de correo electrónico, y escaneos de licencias de clientes, TechCrunch nunca recibió respuesta. No fue hasta Contactamos al gobierno taiwanés para que nos ayudara a revelar el incidente. que tenemos una respuesta inmediatamente.
Una hora después de contactar al gobierno, la ministra de Asuntos Digitales de Taiwán, Audrey Tang, le dijo a TechCrunch por correo electrónico que la base de datos expuesta había sido marcada con el equipo de respuesta a incidentes de emergencia informática de Taiwán, TWCERT, y fue desconectada. La velocidad con la que respondió el gobierno taiwanés fue sorprendentemente rápida, pero ese no fue el final. Taiwán posteriormente multó a Hotai Motors por no proteger los datos de más de 400.000 clientes, y recibió la orden de mejorar su ciberseguridad. Posteriormente, el viceprimer ministro de Taiwán, Cheng Wen-tsan, dijo que la multa de alrededor de 6.600 dólares era “demasiado leve” y propuso un cambio a la ley que aumentaría diez veces las multas por violación de datos.
Las fugas en los sistemas de registros judiciales de EE. UU. provocaron el tipo de alarma adecuado
En el corazón de cualquier sistema judicial se encuentra su sistema de registros judiciales, la pila tecnológica utilizada para presentar y almacenar documentos legales confidenciales para casos judiciales. Estos sistemas suelen estar en línea y permiten realizar búsquedas, al tiempo que restringen el acceso a archivos que de otro modo podrían poner en peligro un procedimiento en curso. Pero cuando el investigador de seguridad Jason Parker descubrió varios sistemas de registros judiciales con errores increíblemente simples que se podían explotar usando solo un navegador webParker sabía que tenían que encargarse de que estos errores se solucionaran.
Parker encontró y reveló ocho vulnerabilidades de seguridad en los sistemas de registros judiciales utilizados en cinco estados de EE. UU., y eso fue solo en su primera divulgación del lote. Algunas de las fallas se solucionaron y otras siguen pendientes, y las respuestas de los estados fueron mixtas. El condado de Lee, en Florida, adoptó la posición de mano dura (y propia) de amenazar al investigador de seguridad con las leyes anti-piratería de Florida. Pero las revelaciones también enviaron el tipo de alarma adecuado. Varios CISO estatales y funcionarios responsables de los sistemas de registros judiciales en todo Estados Unidos vieron la divulgación como una oportunidad para inspeccionar sus propios sistemas de registros judiciales en busca de vulnerabilidades. Govtech está quebrada (y desesperadamente desatendida), pero contar con investigadores como Parker encontrar y revelar fallas que deben corregirse hace que Internet sea más seguro (y el sistema judicial más justo) para todos.
Google eliminó las órdenes de geovalla, incluso si más vale tarde que nunca
Fue la codicia de Google impulsada por los anuncios y el crecimiento perpetuo lo que preparó el escenario para las garantías de geocerca. Estas llamadas órdenes de registro «inversas» permiten a la policía y a las agencias gubernamentales sumergirse en los vastos almacenes de datos de ubicación de los usuarios de Google para ver si había alguien en las cercanías en el momento en que se cometió el delito. Pero el La constitucionalidad (y la exactitud) de estas órdenes reversas han sido puestas en duda. y los críticos han pedido a Google que ponga fin a la práctica de vigilancia que, para empezar, creó en gran medida. Y luego, justo antes de la temporada navideña, el regalo de la privacidad: Google dijo que comenzaría a almacenar datos de ubicación en los dispositivos de los usuarios y no de manera centralizada y efectiva. poner fin a la capacidad de la policía de obtener ubicación en tiempo real desde sus servidores.
La medida de Google no es una panacea y no deshace los años de daño (ni impide que la policía acceda a los datos históricos almacenados por Google). Pero podría empujar a otras empresas también sujetas a este tipo de órdenes de búsqueda inversa (hola, Microsoft, Snap, Uber y Yahoo (la empresa matriz de TechCrunch)) a hacer lo mismo y dejar de almacenar datos confidenciales de los usuarios de una manera que los haga accesibles al gobierno. demandas.