Seguí la página de Facebook del Wall Street Journal y noté estos feeds el fin de semana pasado y validaron sospechosamente estas actualizaciones en Quora y otros sitios web de noticias. La noticia es cierta y WSJ se convirtió en el último de una serie de víctimas en las últimas semanas.
Varios lectores notaron el hack y ya era demasiado tarde antes de capturar capturas de pantalla del aparente hack. W0rm ahora afirma haber superado tanto el Wall Street Journal como la base de datos de usuarios de Vice.com. Si bien W0rm afirma haber violado también la base de datos del Wall Street Journal, una amenaza que dada su credibilidad tiene un mérito significativo, la compañía aún no ha hecho una declaración pública sobre la posible violación.
Estas capturas de pantalla (publicadas por W0rm) parecen mostrar cadenas extraídas de bases de datos robadas con las credenciales de los usuarios.
- ¿Cuál es el próximo fenómeno de la 'Ley de Moore'?
- ¿Cuál es el error más grande que Square ha cometido hasta ahora (agosto de 2014)?
- ¿Debo comprar Amazon Echo o esperar a HomePod?
- ¿Cómo se sienten los empleados de Zillow sobre la adquisición de Trulia?
- ¿Cómo se sienten los empleados de Trulia acerca de la adquisición por parte de Zillow? ¿Están contentos o tristes por eso?
Las capturas de pantalla también muestran las diferentes columnas sensibles extraídas de la base de datos, tales como:
Nombre de usuario, contraseña, dirección de correo electrónico, intentos de inicio de sesión, actividad, etc.
En este momento, WSJ no ha revelado ninguna recomendación a los usuarios de WSJ a pesar de que WSJ estaba al tanto del compromiso e inmediatamente comenzó a eliminar los feeds ofensivos. Además, WSJ anunció que los sistemas informáticos para sus gráficos de noticias fueron “pirateados por terceros”.
Andrew Komarov, CEO de Intel Crawler, quien señaló el truco a la revista también confirmó que existe la oportunidad de obtener acceso a cualquier base de datos en el servidor de The Wall Street Journal, una lista de más de 20 bases de datos alojadas en este servidor.
Miríada de otras infracciones similares:
¿Recuerdas el “pirateo de Twitter de AP” que comenzó a venderse en Wall Street? 
El Dow cayó 100 puntos en un segundo, antes de recuperarse una vez que quedó claro que la cuenta de AP había sido comprometida. Aparentemente, los piratas informáticos “hicieron repetidos intentos de robar las contraseñas de los periodistas de AP” y terminaron con la contraseña de la cuenta principal de Twitter del cable de noticias.
En otra nota, toda la violación de seguridad se produce pocos días después de que W0rm se atribuyera la responsabilidad de un ataque contra un sitio web de gadgets llamado CNET , un reclamo que siguió con una oferta para azotar una base de datos CNET que supuestamente contiene un millón de nombres de usuario, contraseñas y direcciones de correo electrónico. Esto fue explotado a través de una vulnerabilidad encontrada en el framework PHP Symphony de CNET.
Además, W0rm estuvo previamente vinculado a un hack de alto perfil contra la BBC en diciembre pasado . Anteriormente usaba apodos como “rev0lver” o “rev”, según las fuentes de El Reg .
Se cree que el hacker está principalmente motivado financieramente. El comercia bases de datos robadas con otros cibercriminales y spammers a través de foros clandestinos.
Controles de seguridad recomendados:
Aunque algunos de los hacks no se divulgan completamente o no tenemos mucha información, definitivamente es viable asumir que las organizaciones necesitan hacer cumplir estos controles de seguridad para mejorar su postura de seguridad ante estas amenazas.
1. Enfoque en capas: implemente un enfoque en capas y aplique políticas y procesos adecuados una vez que haya identificado sus joyas de la corona en su organización. Considerando que los datos son de suma importancia, proteja lo que es importante. ¡Las organizaciones tratan de proteger todo, por eso estos ataques tienen éxito fácilmente!
2. Claves API y contraseñas:
En el caso de los feeds de Twitter, las organizaciones han expresado su preocupación por crear una autenticación de dos factores para evitar que los atacantes usen mal y secuestren los feeds. Según eWEEK, las organizaciones que pueden registrarse para obtener una cuenta con servicios de acortamiento de URL reciben una clave API que les da la capacidad de crear sus propios enlaces abreviados (para aquellos que no saben lo que hace la clave API). la clave API para que puedan obtener análisis sobre quién hace clic en sus enlaces acortados). Estas infracciones ocurren si estas claves se encuentran en línea y los empleados las manipulan. Asegúrese de que estas claves API no se filtren y protejan accidentalmente de estos intrusos.
3. Cortafuegos de la base de datos: detener los ataques en tiempo real es la única forma efectiva de evitar que los hackers accedan a sus datos. Implemente un firewall para monitorear la actividad de la base de datos en tiempo real y analice el tráfico de la base de datos, buscando ataques a nivel de protocolo y sistema operativo, así como actividad SQL no autorizada. Esto debería haber evitado que intrusos no autorizados extraigan tablas confidenciales de la base de datos en caso de incumplimiento del Wall Street Journal.
4. Auditoría de la base de datos: no siempre puede proteger los datos con todos los controles preventivos implementados. Puede tomar decisiones informadas localizando datos críticos. La Evaluación de la base de datos resalta datos confidenciales y rastrea su ubicación hasta el objeto, la fila y la columna de la base de datos. Esto, a su vez, puede ayudar a que su organización se concentre en datos críticos dentro del alcance y cree políticas granulares que agilicen la auditoría y los informes.
5. Cifrado: ¡ Ohhh las viejas cifras! En caso de incumplimiento de vice.com, parece que su sistema de administración de contenido se vio comprometido, lo que resulta en el acceso completo a una lista de los registrantes de Vice.com. Su base de datos contiene una lista cifrada de direcciones de correo electrónico y contraseñas, que se vuelven inútiles a menos que se descifren. Incluso si el cifrado está habilitado como una capa adicional de protección, considere proteger sus claves de cifrado en una bóveda segura.
Con la posible gama de opciones de cifrado de varios productos de seguridad, puede establecer el nivel de seguridad y capacidad de búsqueda para cada tipo de datos, admitiendo campos estructurados y no estructurados e incluso implementar cifrado a nivel de campo para un mejor rendimiento.
Asegúrese de utilizar el algoritmo de cifrado más seguro (AES-256) y también proteja las claves de cifrado.
6. Parches y cumplimiento: los intrusos no autorizados pueden robar datos fácilmente explotando sistemas sin parches, accediendo a cuentas con contraseñas predeterminadas y aprovechando los derechos administrativos. A través de un extenso programa de gobernanza y controles automatizados, debería poder controlar, auditar cuentas en un proceso periódico de gestión de cambios, parchear sistemas críticos y así cumplir con el cumplimiento.
Próximos pasos:
Mientras esperamos la confirmación de WSJ sobre la vulnerabilidad y el análisis detallados, mientras vemos las capturas de pantalla y los feeds de Twitter de W0rm, es seguro concluir que el ataque se confirmó debido a la vulnerabilidad explotada debido a la falta de controles de base de datos y vulnerabilidad en el solicitud.
Si está suscrito al diario de Wall Street, como medida de seguridad, asegúrese de que todas sus contraseñas se cambien de inmediato y observe cualquier actividad sospechosa.
