2021

Sujetos

Clubhouse, una mezcla entre plataforma de podcasts en vivo y sala de conferencias virtual, utiliza los servicios de una startup china llamada Agora Inc, cuya sede está en Shanghái, para proveer toda su infraestructura de backend. Los identificadores de cada usuario y de las salas en las que participa son transmitidos en texto plano, y no ofrece tampoco ninguna garantía de que los audios se almacenen de forma segura. La aplicación pide al usuario que comparta con la plataforma toda la información referente a sus contactos (incluidos los que no usan la plataforma), lo que le permitiría obtener su grafo social y asociarlo a su comportamiento. Se utilizan dark patterns, como el de exclusividad (app solo disponible para iPhone y falsa ilusión de escasez mediante invitaciones) y de usabilidad (botón para pemitir acceso a los contactos sin la opción de rechazar). The Guardian · Stanford Internet Observatory · Lourdes Turrecha en Medium

2020

Sujetos

La aplicación de videoconferencias Zoom filtra la fotografía y cuenta de correo electrónico de los usuarios que se registran con servicios de correo poco convencionales, o de cuya existencia Zoom no sabe, porque trata las cuentas de correo como corporativas por defecto y las añade a un listado compartido entre ellas automáticamente. VICE Motherboard

Sujetos

Se clarifica que la aplicación de videoconferencias Zoom, a pesar de anunciarse en su web asegurando que las comunicaciones de la aplicación se realizan cifradas de extremo a extremo, en realidad se realizan con un cifrado de transporte (TLS). Este tipo de cifrado de transporte, más sencillo, es regularmente utilizado en internet (se conoce como HTTPS para páginas web), y sí permite que el proveedor acceda a las comunicaciones. The Intercept

  • 1 de abril. Zoom clarifica el cifrado utilizado en su servicio de videoconferencias. Blog de Zoom

Sujetos

Un investigador de ciberseguridad descubre que el instalador de Zoom, la aplicación de videoconferencias, elude los mecanismos de seguridad del sistema operativo MacOS mediante el abuso de una característica diseñada para evaluar si la aplicación puede ser instalada. En un caso incluso pide permisos de administración haciéndose pasar por el sistema, prácticas comúnmente utilizadas por software malicioso. Blog de Felix Seele

  • 2 de abril. Zoom actualiza la aplicación eliminando todas las técnicas controvertidas y ajustándose a los estándares de instaladores de Mac OS. Twitter de Felix Seele

La Empresa Municipal de Transportes de Madrid (EMT) cobra doble a los pasajeros de los autobuses que acercan a la canceladora su cartera o bolso con una tarjeta de transporte público en vigor junto con una tarjeta bancaria con tecnología sin contacto (contactless). El servicio de cobro sin contacto, propulsado por Santander, Visa y MasterCard, lleva activo 2 meses, durante los que se han recibido cuatro quejas diarias por cobros indebidos. Cadena SER · El País

Los datos personales de 6 800 usuarios de la Universidad de Burgos (UBU) fueron afectados por un ciberataque el 14 de enero. No se han exfiltrado contraseñas ni información bancaria. eldiario.es

2019

Sujetos

Un investigador de seguridad descubre un error en la API de Twitter que permite abusar del sistema que empareja números de teléfono con cuentas de usuario. Además, se evidencia que el sistema utiliza números de teléfono que el usuario aporta originalmente para la verificación en dos pasos. Solo en Europa este sistema de descubrimiento está desactivado por defecto. TechCrunch

  • 3 de febrero de 2019. Twitter desvela que posibles actores estatales en Irán, Israel y Malasia han abusado del error y se disculpa con los usuarios por las consecuencias. Blog de Twitter · ZDNet · Genbeta

Sujetos

Encuentran una base de datos sin protección con información confidencial de 267 millones de usuarios de Facebook. La mayoría de usuarios afectados son estadounidenses y entre los datos filtrados se incluye su ID de usuario de Facebook, su teléfono móvil y su nombre completo. Se sospecha que la base de datos se compiló abusando de la API para desarrolladores de Facebook. Comparitech

Sujetos

El jueves 12 de diciembre, Televisión Española (TVE) sufrió un ataque informático que resultó en el secuestro de la emisión del canal +24 y emitieron una entrevista del expresidente ecuatoriano Rafael Correa a Carles Puigdemont, realizada por Russia Today, un canal internacional con sede en Moscú acusado múltiples veces de prácticas de desinformación. La Vanguardia

Sujetos

Un hombre de 21 años murió en Nueva York después de verse atrapado entre dos coches Toyota Lexus IS300s del 2002. El segundo coche fue encendido en remoto por su dueño, y arremetió una segunda vez contra la víctima tras ser empujado por testigos del suceso. Toyota asegura que el modelo no incluía encendido remoto de fábrica. BBC

Temas
Sujetos

Se filtran más de 2000 contraseñas de usuarios de NordVPN. Las contraseñas fueron probablemente cruzadas de otras filtraciones, no obtenidas atacando directamente a NordVPN, pero evidencian una posible falta de cuidado por su parte a la hora de proteger activamente la higiene de contraseñas de sus usuarios. Ars Technica

Sujetos

Se encuentra sin protección una base de datos de Novaestrat con información personal actualizada de los ciudadanos de Ecuador, incluyendo 6,7 millones de registros sobre niños. La información filtrada recoge nombre completo, domicilio, relaciones familiares, datos del registro civil, información financiera y matrículas de coches. vpnMentor · ZDNet

Sujetos

Se encuentra una base de datos sin protección que almacena los números de teléfono asociados a 419 millones de cuentas de usuario de Facebook. Algunos de los registros también tenían el nombre del usuario, el sexo y la ubicación por país. TechCrunch

Sujetos

Se filtra una base de datos sin protección con información electoral de 2017 del 80% de la población de Chile. La base de datos contenía nombres, domicilio, sexo, edad y número de identificación tributaria (RUT, o Rol Único Tributario) de 14 308 151 personas. WizCase · ZDNet

Temas
Sujetos

Al menos un terabyte de copias de seguridad de Attunity— un proveedor de servicios de la mitad del Fortune 100— se encontraban accesibles por el público en una serie de instancias en la nube de Amazon S3. Almacenaban copias de seguridad de las cuentas de OneDrive de los empleados y entre los documentos expuestos se incluyen documentos internos de las empresas. Upguard

Sujetos

Piratean 110 bases de datos de la Agencia Tributaria de Bulgaria y filtran a los medios la información financiera de 5 millones de ciudadanos, junto con sus números de identificación nacional y sus nombres completos, de 57 de ellas. ZDNet

Temas
Sujetos

El robot Monsieur Cuisine de SilverCrest vendido en Lidl oculta un micrófono en su interior y utiliza una versión obsoleta y vulnerable de Android. eldiario.es

Sujetos

Piratean la base de datos de un sistema de reconocimiento biométrico de una subcontrata de la Oficina de Aduanas de Estados Unidos y roban decenas de miles de fotos de viajantes y matrículas de vehículos tomadas durante mes y medio a las que no debía tener acceso la subcontrata. Buzzfeed

Temas
Sujetos

Google soluciona un error por el que, desde 2005, se almacenaron las contraseñas de los usuarios empresariales de G Suite en texto plano. BleepingComputer

Temas
Sujetos

Facebook soluciona una vulnerabilidad en WhatsApp (Android, iOS, Windows Phone y Tizen) que permitía ejecutar código remoto mediante llamadas falsas. El grupo israelí NSO Group utilizaba esta vulnerabilidad contra activistas de derechos humanos, científicos y periodistas. Facebook · EFF

Temas
Sujetos

Durante seis meses, un grupo de criminales tuvo acceso a correos electrónicos de usuarios no empresariales de Hotmail, MSN y Outlook tras conseguir acceso a la cuenta de un trabajador de soporte de Microsoft. VICE Motherboard · ArtTechnica

Temas
Sujetos

Microsoft rehusa arreglar urgentemente una vulnerabilidad en Internet Explorer que permite robar documentos a cualquier usuario de Windows. En protesta, el investigador de seguridad libera la vulnerabilidad. ZDNet · Mashable

Temas
Sujetos

La información de usuarios de Cultura Colectiva y At the Pool, dos aplicaciones integradas con Facebook, como nombres, situación sentimental, contraseñas en texto plano e intereses, se almacenaba en el servicio Amazon S3 expuesta al público sin ningún tipo de autenticación. Bleeping Computer

Temas
Sujetos

Un error en la aplicación de Google Home para Android TV revela los perfiles de otros usuarios. Google reacciona desactivando la característica de visualización de fotos con Google Photos. XDA-Developers

Temas
Sujetos

Se descubren expuestas al público varias bases de datos de vigilancia estatal en tiempo real de millones de residentes en Xinjiang, China. Algunas incluso muestran restos de haber sido ya accedidas ilícitamente por malos actores. ZDNet · EFF

Temas
Sujetos

La Comisión Europea retira el smartwatch ENOX Safe-KID-One, dirigido a niños, por múltiples riesgos contra la seguridad de datos privados. Las comunicaciones con el servidor no se cifran, el servidor permite acceder sin autenticación a los datos, como el historial de localizaciones GPS y números de teléfono, y un actor malintencionado podría incluso hablar con el niño usuario. ZDNet · Comisión Europea

Temas
Sujetos

Se descubre un error en la aplicación de videollamadas de Apple, FaceTime, que permite escuchar el audio de la persona contactada antes de que descuelgue. BuzzFeed

  • El mismo día, Apple reacciona rápidamente desactivando la característica de grupos hasta que lo resuelvan. 9to5Mac
2018

Temas
Sujetos

Facebook expuso fotos privadas de hasta 6,8 millones de usuarios a desarrolladores por error. The Verge

Temas
Sujetos

Google expuso en Google+ información de perfil (nombre, correo electrónico, ocupación y edad) de 52,5 millones de usuarios a desarrolladores, y cerrará Google+ al público cuatro meses antes de lo previsto. Blog corporativo de Google · The Verge

Sujetos

Google ocultó un error en Google+ activo desde 2015 que exponía información de perfil (como nombre, género, correo electrónico, ocupación y edad) de 500.000 usuarios a desarrolladores, supuestamente en un intento de evitar repercusiones legales. WSJ (muro de pago) · The Verge

2017

Sujetos

El gobierno alemán prohibe la venta de la muñeca infantil conectada Cayla por vulnerabilidades de seguridad y obliga a los padres a destruir sus ejemplares por considerarlos dispositivos ilegales de espionaje. BBC

2016

Temas
Sujetos

La red de bots Mirai tiró abajo muchos servicios y páginas web atacando directamente a la infraestructura de internet usando millones de dispositivos conectados (IoT) vulnerables de consumidores que había pirateado y secuestrado. Popular Mechanics · Popular Mechanics

Sujetos

En la brecha de 2012 de Dropbox se filtraron contraseñas y direcciones de correo de más de 68 millones de usuarios, dos tercios de su base de usuarios. En el momento, Dropbox solo comunicó que se habían filtrado direcciones de correo de usuarios, pero no contraseñas. VICE Motherboard · The Guardian

  • 31 de julio de 2012. Comunicación oficial de la filtración. Blog de Dropbox

Sujetos

En la brecha de 2012 de LinkedIn se filtraron más de 117 millones de contraseñas y direcciones de correo de usuarios que estaban mal cifrados, no 6,5 millones, como se comunicó inicialmente. TechCrunch · VICE Motherboard

2012