Conclusiones del Pentesting a Uber y Marriot

La url de la prueba personal que menciona Fredy es esta: https://haveibeenpwned.com

• ¿Cómo minimizar riesgos de hackeo a mi empresa?

1. Tener una estrategia de seguridad informática, sobre todo si se manejan datos de terceros.
2. Tener un equipo o contratar un consultor externo que haga pentesting de manera constante.
3. Entender las leyes de cada país: leyes de protección de datos. La ley que afecta es la ley donde viven mis usuarios.
4. Cambiar constantemente la contraseña, no usar la misma contraseña en todas partes (tener un gestor de contraseñas). Usar contraseñas largas (más de 8 caracteres).

• No se le puede delegar al futuro una estrategia de seguridad informática, porque esto hará que te hackeen.

• En caso de una brecha de seguridad: Ejecutar tu Protocolo de contingencia ante un incidente de seguridad, previamente estructurado.

1. Entender rápidamente ¿qué paso?
2. Hacer el mejor esfuerzo para contratar auditores externos, o empresas de seguridad informática que te expliquen e identifiquen el problema.
3. Si ejecutas las acciones correctas minimizas el riesgo de que en un juzgado te pongan una demanda por negligencia.
4. Inmediatamente después de que el reporte de auditoría te indique ¿qué pasó?, se debe hacer un comunicado de prensa y empezar a manejar la crisis.
5. Tratar de mitigar los problemas.
6. Endurecimiento de la empresa: contratar expertos en seguridad para evitar que esto vuelva a ocurrir.

• Por último, recuerda que prevenir es mejor que lamentar.
  
  

El CSO hizo lo que yo sugerí y todo salió mal, para eso estoy en este curso para aprender…

🐱‍💻 Es indispensable invertir en seguridad, para evitar problemas que afectarían en gran media a la organización.

Yo al oír de Accenture otra vez.

Les dejo este interesante video donde, se hace una demostración de un ataque a una empresa y el equipo de seguridad informática logra frenar el ataque.
Y todo gracias a que alguien tenía sus contraseñas confidenciales en un USB, debajo del escritorio. Véanlo esta muy bueno!

https://www.youtube.com/watch?v=QMG_GeI90rI

En https://leakpeek.com/ puedes ver si tu contraseña esta publica en internet, sin pagar puedes darte cuenta y pues bueno igual puedes buscar cualquier contraseña que este expuesta.

Hola, formo parte de una empresa que brinda una plataforma como servicio (saas) a las pymes (pequeñas y medianas empresas) en Perú para llevar la gestión de su negocio. He visto que los backups de las base de datos de los clientes se realiza aproximadamente cada 2 horas. Mi duda está en si el tiempo entre backups está bien, teniendo en cuenta que los negocios procesan información (ventas) cada minuto. Agradecería sus sugerencias.

https://haveibeenpwned.com/ no está en los enlaces como dice Freddy. Me tocó cambiar la clave.

Entre cientos de recomendaciones, las más básicas, mínimo:

• Cifrado de datos sensibles en front y trasporte de datos sobre canales TLS.
• Cifrado de datos en db de datos altamente sensibles.
• en móviles, cifrado de datos en almacenamiento local del móvil, solo si es absolutamente requerido tener dicho dato.

mi correo fue filtrado en una ocasión… que susto ver eso, es mi correo principal…de una cambie la clave.

Se debe tener estrategia, contratar un experto.

1. Contratar expertos seguridad informática
2. Mejor esfuerzo.
3. Comunicados
4. Soportar crisis.
5. Mitigar Problemas.
6. endurecer la empresa.

Accenture de nuevo.

La seguridad informática, es algo q una empresa de clase mundial no puede delegar ni subestimar.

No sabia que había sido expuesto, me toca cambiar mis passwords

gracias freddy por esa pequeña ruta de control de pánico

Una pregunta, si yo soy una marca y tengo un dominio, pero uso un SAAS de terceros para que mis clientes usen mis productos/servicios, me libero de responsabilidad ante mis clientes en caso de una violación de datos?
En este caso, la violación de datos ocurre al SAAS y no a mi, pues sólo soy el dominio/marca.
Agradeceré sus comentarios.

Busqué en la página que dice Freddy y mi correo fue filtrado en una ocasión 😦

Curiosamente en el proceso de suscribirme a platzi, fraudulentos clonaron mi TC e hicieron una compra en Wallmart, afortunadamente mi banco la bloqueo automáticamente por sospecha. Finalmente me reemplazaron la TC.
.
Las compras por internet abundan estos días, y hay que estar atentos para evitar estos fraudes.
Hasta ahora voy entendiendo el alcance de esto.

el tema de seguridad debe hacerlo una empresa especializada, en el caso que manejes información de terceros, porque si tu empresa no es de tecnología difícil que sepas por donde empezar o que hacer exactamente.

Wow, increíble como un CSO de una empresa tan grande dpor tapar todo, fomenta el cibercrimen al pagar esa cantidad de dinero, creo que fue una mala elección y quien sabe si encontrar empleo nuevamente haya sido sencillo para él con el peso de esta actuación.

Bueno, lo que vemos es que a los EE.UU le están dando de su propia medicina en cuanto al tema de espionaje, pues ellos son los reyes del espionaje y la hipocresía diplomática. Es gravísimo que China espié, pero es igual de grave he incluso peor que los Yakies lo hagan. Ya que son ellos los que predican democracia y libertad.

… creo saber exáctamente cómo hackearon a Uber, pero por un contrato que firmé muchos años atras no podré decir nada más 😶

Conclusión: no se deje extorsionar.

nunca se les paga a los hackers, por algo son hackers!

hice lo de haveibeenpwned y mi compu empezo a hacer cosas extrañas, empezo una musiquita medio tetrica y la pantalla se apago. se empezaron a prender y apagar todas las luces de mi casita y aparecio en la pantalla un mensaje que dice:
“te estamos viendo desde la dip guev, paulita”
😮

deberia preocuparme???

:v

Que difícil es tener una empresa!

Después de este módulo, me voy directo a la ruta de seguridad informática. Muchas gracias por la info.

       HOLA IMPORTANTE ÁRA TODOS

HAY OTRAS PAGINAS WEB QUE TE PERMITEN VERIFICAR SI TUS DATOS FUERON FILTRADOS
SCATTEREDSECRETS
LEAKPEEK

Y HAY PAGINAS EN LAS QUE SE PUBLICAN “LOS DATOS FILTRADOS” Y LO PONEN A LA VENTA, HAY QUE INVESTIGAR UN POCO PARA QUE HAGAN ESAS BUSQUEDAS

Lecciones:

1. Un CSO no es infalible
2. El gobierno chino son macabros… o bien alguien quiere hacernos pensar que son macabros.
3. Canva, UBER… ¿Quién será el siguiente?

Excelente clase, con esto entiendo que la empresa donde trabajo tiene 0 seguridad , 0 control sobre la información, 0 control sobre los archivos, contraseñas que manejan los empleados y no tiene establecido procesos para los despidos de los mismo y el control de toda la información que manejan.

Toma decisiones prudentes y rápidas a la hora de tener inconvenientes de seguridad en tu empresa.

La clave tener una auditoria constante interna e externa

por cierto firefox monitor, noc si freddy avala pero es el que yo uso, que dice el master?

.

Es interesante lo que uso cada empresa para solucionar el problema de sus ataques de hacker. Lo de uber me soprendio mucho y perdio mucho porque hoy en dia ya no se los menciona. Increible lo que se tuvo que pagar a los paises del mundo por la mala decision de su CSO. No hacer publico un ataque si es un delito grave y eso que solo aplique sentido comun. En caso de Marriot si afrontaron bien el ataque debido a su mejora. Ahora a seguir aprendiendo de esto.

Seguridad básica para el inicio de una MiPymes de tecnología digital es aplicar el estándar ISO 27001. 😃

El mayor problemas es el ego y creer que tenemos todo bao control. No admitir que fallamos.

Conclusiones de UBER

• Deberían haber hecho públicos los hackeos: es legalmente obligatorio informarle al público
• Mejorar el pentesting interno + consultoría externa : corrección de error y plan de contingencia futura.
• Necesitás auditoría constante.
• Tener un equipo interno de seguridad + red externa de auditoría para evitar sesgos.

Conclusiones Marriot

• Pérdidas de 120 millones de dólares de multa + 28millones de dólares para la reestructuración en Seguridad Informática. A esto se le suma de demandas de clientes.

¿Qué hacer frente a la brecha de datos?

1. Entender a alta velocidad lo que pasó.
2. Auditoría externa + equipo interno --> para evitar demanda de negligencia
3. Comunicado de prensa + contemple manejo de crisis
4. Poner en marcha el equipo legal + asesoría en seguridad informática.
5. Mejorar protocolos para que no vuelva a ocurrir

realice la prueba y me salio que encontraron un resultado en mi correo personal ☺

👌

Si nos hackean:
Entender lo que pasó, contratar a auditores externos o empresas de seguridad informática que nos expliquen e identifiquen el problema. Necesitamos demostrar eso.

Una vez sabemos, hacemos el comunicado de empresa y comenzamos a manejar la crisis.

Mitigar los problemas. Si son tarjetas de crédito, tendremos serios problemas. Si son datos personales, debemos ver que no sean datos que puedan generar problemas a las personas, como robos de identidad.

Endurecimiento de la empresa: contratar a expertos en seguridad informática, que generen nuevos protocolos de seguridad en nuestra compañía para que esto nunca vuelva a ocurrir.

Y por último, decir en el comunicado a los clientes, que ya tomamos medidas para que esto no vuelva a ocurrir.

ISO 27001 - La medida más básica.

La ciberseguridad se ha convertido en una prioridad no solo para las empresas, sino también para los gobiernos de todo el mundo, ya que consideran que proteger a los activos disponibles a través de internet, y los sistemas y las redes informáticas de los hackers, es vital para el funcionamiento, la estabilidad de una nación y el sustento de su gente.

• Malditos chinos sin quehacer! Virus, hackeos, etc.
• Hay que ir a fumigar …

Al parecer si fuí pwned, cambien sus contraseñas periodicamente

Es necesario crea una política de seguridad dentro de las empresas, con el objetivo de reducir las areas expuestas

Increíble

Vaya al final todo sale a la luz es como esas peliculas donde el hacker revela la verdad al mundo

Para tener una idea, cuanto tiempo toma hackear tu contraseña por fuerza bruta:
https://password.kaspersky.com/es/

Lo correcto es informar al publico cuando tienes una infiltración de datos

Que miedo!!!! Ya hice la prueba de la pagina que recomiendas.

https://haveibeenpwned.com/

Filtracion de datos

A cambiar contraseña…

Hay alguna forma de ver cuando se filtro esa información?

Grande muy buenos conocimientos!!! 😃

150 MILLONES DE DOLARES¡¡¡¡, que millonada

Multas a Uber.

Que brutal!

firefox tiene algo similar.

y los de fitnesspal son unas gv*s no dijeron tampoco ni vershhh

Sorprendete la multa que pago Uber.

A cambiar contrasenia

Alguien sabe si Kaspersky Password Manager es una buena opcion?

ahora a tener una mejor seguridad para tú persona y empresa!!

excelentes cursos

Valiosa enseñanza y recomendaciones.Gracias!

Firefox tiene un sistema de reporte de filtraciones muy bueno tambien

https://monitor.firefox.com/