Uno de los ejemplos mas impactantes de fuga de información o filtración de datos fue el de Ashley Madison, la pagina Web que prometía total confidencialidad a sus clientes para que tuvieran citas extra maritales, llego a ser conocida como la pagina para adúlteros
en este enlace mas información, como nota adicional se sabe que este filtración no solo costo millones de dolares en perdidas por demandas, si no que afecto familias y en algunos casos cobro la vida de personas que no soportaron ser expuestos como adúlteros, y se dice que a otros los extorsionaron para no exponerlos ante sus parejas o familia
No estoy tan seguro de que la filtración de datos de Yahoo fuera la directa causa de su bajonazo, en este video del mismo platzi profundizan mas sobre el tema
Acabo de ver el vídeo de Freddy Vega, y estoy 100% de acuerdo que Yahoo casi muere o murió por su mala gerencia hacia el futuro y no solo por el tema de seguridad, claro este.punto es importante, pero quien no come algo que le hace daño?
Buen aporte de articulo de Ashley Madison y el vídeo de freddy. aclara mas el tema.
2020
1. Microsoft
exposición de datos de 250 millones de clientes del soporte técnico de Microsoft a raíz de la mala configuración de un servidor que almacenaba conversaciones entre clientes y el equipo de soporte técnico.
2. Twitter
reveló que actores maliciosos explotaron un fallo en la app de la red social que permitía vincular números de teléfono con nombres de usuarios
**3. Plugin WordPress **
ThemeGrill Demo Importer que viene junto a los Temas desarrollados por la compañía ThemeGrill, y que está activo en más de 100.000 sitios. El fallo, que ya fue reparado, permite a un atacante acceder a cuentas de WordPress con permisos de administrador y borrar todo el contenido de un sitio.
2019
1. Vulnerabilidad en Winrar2. Vulnerabilidad Bluekeep
la vulnerabilidad (CVE-2019-0708) que afecta a varias versiones de Windows y que permite realizar ataques vía RDP.
3. Problemas para Facebook
bloqueo de su VPN, “Facebook research”, por violar las políticas de Apple. Facebook research había sido utilizada por la compañía de Zuckerberg para recolectar datos de los teléfonos que la utilizaran.
2018
**1. Facebook y Cambridge Analytica **
la red social cedió datos personales de más de 90 millones de usuarios a la consultora política
2. cadena hotelera Starwood (Marriot International)
a fines de noviembre se supo que ocurrió un incidente en el que se filtró información personal de aproximadamente 500 millones de huéspedes y clientes.
**3. Google+ **
1 - ocurrió en marzo (aunque se reveló en octubre) y expuso datos de los perfiles de más de 500 mil usuarios.
2-Aprincipios de diciembre la compañía reveló otro fallo provocado por una actualización defectuosa que afectaba a la API de Google+, denominada “People:get" y que durante seis días expuso información personal de 52.5 millones de usuarios, como nombre, dirección de correo, género, edad, ocupación, entre otros datos más.
4. Quora
La popular plataforma de preguntas y respuestas comprometió información personal de 100 millones cuando detectó el acceso no autorizado de terceros malintencionados.
5. Número de CPF de millones de ciudadanos de Brasil
En marzo de este año investigadores descubrieron un servidor web Apache mal configurado que contenía archivos con el número de identificación financiera (conocida en Brasil como CPF)
6. MyFitnessPal
-En marzo de este año la compañía reveló que las cuentas de 150 millones de usuarios quedaron expuestas
7. sitio MyHeritage
- reveló que expuso datos de más de 92 millones de usuarios que se habían registrado a MyHeritage luego del 26 de octubre de 2017
8. Compañía Exactis
-(empresa que se dedica a la venta de datos), cuando a mediados de año se supo que expuso 340 millones de registros a través de una base de datos que estaba en un servidor de manera pública y al alcance de cualquier que supiera cómo buscarla.
9. British Airways
- fue víctima del robo de datos de 380 mil tarjetas de pago de clientes que realizaron reservas a través del sitio web de la aerolínea, ba.com o la aplicación móvil.
10. Subsidiaria de Expedia
- La agregadora de sitios web de viajes Orbiz, subsidiaria del Grupo Expedia, sufrió una brecha de seguridad en la que atacantes tuvieron acceso a información personal de varios clientes; entre ellos los datos 880 mil tarjetas de pago.
Otras empresas que este año sufrieron algún tipo de incidente de seguridad en el que dejaron expuestos datos privados de los usuario fueron: Dell, la compañía de telecomunicaciones T-Mobile, la tienda online SHEIN, la aerolína Cathay Pacific, la plataforma para venta de entradas Ticketfly, la compañía Chegg y las aplicaciones myPersonality, Timehop y Careem.
En 2020 también twitter volvió a estar expuesta cuando con ingeniería social hackearon unas credenciales y fueron escalando hasta tener acceso a la consola de administración de cuentas y publicar un fraude con bitcoin en cuentas importantes como la de Elon Musk entre otras.
Garmin también tuvo un ataque en el cual cifraron sus archivos y pedían un rescate el cual luego de unos días tuvieron que pagar para recuperar la información y restablecer todos sus servicios, entre ellos los relacionados con el deporte y también la navegación aeronáutica.
Buenos datos Edagr mas el complemento de Diego, gracias a los dos.
++Resumen: Estudios de Casos: Riesgos materializados que han afectado a grandes empresas++
++Yahoo!(2013):++ Perdió 3 billones de datos de sus usuarios y paso de valer 100 mil millones de dólares a ser vendida en 4 mil millones de dólares.
++Marriott(2018):++ perdió 500 millones de datos de sus usuarios.
++Adult Friend Finder (2016):++ perdió 412.2 millones de datos de sus usuarios entre los que se encontraban:
*Quienes eran sus usuarios.
*cuales eran sus números de tarjeta.
*direcciones y transacciones
++Sony(2011): ++perdio una cantidad enorme de datos de sus usuarios entre los que se encontraba:
*Numero de contraseñas
*datos de tarjeta de credito
++WannaCry(2017):++ Falla de seguridad que por medio de un malware secuestro la información de una gran cantidad de usuarios.
++Lecciones aprendidas:++
*Ningún sistema es 100% seguro
*La seguridad de la Información debe tratarse con un enfoque estratégico, transversal y preventivo
*Es necesario siempre considerar el contexto y los comportamientos humanos
*El liderazgo y la generación de competencias es fundamental para hacer una adecuada gestión de riesgos
Se tendria que actualizar este video, No veo los casos de filtraciones de datos de Facebook, que fueron muy sonados en el 2018.
Puedes dejar por acá cuales fueron esos casos sonados del 2018 para complementar con el video :)
El escándalo de FACEBOOK y CAMBRIDGE ANALYTICA
Cómo Cambridge Analytica analizó la personalidad de millones de usuarios de Facebook
También encuentran sobre ese caso en un documental de Netflix llamado "Nada es privado"
Muy aparte del enfoque de la seguridad de datos empresarial deberiamos educar desde los mas pequeños hasta las personas mayores en temas de seguridad informática, los datos son un bien muy valioso que muchos no se dan cuenta al dar información delicada a sitios web, redes sociales y hasta en los videojuegos.
En este enlace se informa de una fuga de datos en una aplicación de mensajería:
¿ Que diferencia hay entre el malware wannacry y un ransomware ?
Hola:wave:
WannaCry es un ejemplo de ransomware de cifrado, un tipo de software malicioso (malware) que los cibercriminales utilizan a fin de extorsionar a un usuario para que pague.
El ransomware ataca cifrando archivos valiosos para que no puedas acceder a ellos, o bien bloqueando tu acceso al ordenador para que no puedas utilizarlo.
El ransomware que utiliza cifrado se llama ransomware de cifrado. El tipo que bloquea tu acceso al ordenador se llama ransomware de bloqueo.
Al igual que otros tipos de ransomware de cifrado, WannaCry secuestra tus datos con la promesa de devolverlos si pagas un rescate.
WannaCry tiene como objetivo los ordenadores que utilizan Microsoft Windows como sistema operativo. Cifra los datos y exige el pago de un rescate en la criptomoneda bitcoin por su devolución.
Actualmente otro ejemplo, el jueves 27 de agosto de 2020, un ransomware denominado "NetWalker" vulneró los datos de la Dirección Nacional de Migraciones de mi país, Argentina. Un mensaje extorsivo solicitaba que, si no se pagaba por recuperar la información secuestrada, harían públicos todos los datos. En los cuales se encuentran carpetas con información de EMBAJADAS, informes de INTERPOL y de la AFI (Agencia Federal de Inteligencia), entre otros...
Hola Franco, como acabo el asunto?
Las eventualidades que estamos estudiando seguirán sucediendo y por eso es que se estima que la demanda de profesionales de seguridad informática seguirá aumentando.
Asi es. Ademas de ser una carrera muy demandada desde WannaCry, personalmente creo que es apasionante encontrarse con retos dia a dia que te ayudan a crecer como profesional. El hecho de que la seguridad de la información nunca esté 100% garantizada, te motiva a prepararte de la mejor manera para afrontar estos retos y minimizar el área de ataque y perdidas.
Muy buenos estos tres ejemplos de pérdidas de información, ejemplos en donde vemos que se perdió los principios de la seguridad informática, tales como: confidencialidad e integridad.
Ningún sistema es 100% seguro, por eso siempre es iterativo, siempre se debe estar mejorando la seguridad informática.
Para nada conocía el caso de Sony con north corea
Que buena introduccion, que ganas de seguir aprendiendo DLP
Uno de los ejemplos mas impactantes de fuga de información o filtración de datos fue el de Ashley Madison, la pagina Web que prometía total confidencialidad a sus clientes para que tuvieran citas extra maritales, llego a ser conocida como la pagina para adúlteros
Lecciones:
Ningún sistema es 100% seguro
La seguridad de la Información debe tratarse con un enfoque
estratégico, transversal y preventivo
Es necesario siempre considerar el contexto y los
comportamientos humanos
El liderazgo y la generación de competencias es fundamental
para hacer una adecuada gestión de riesgos
Buenos días.
Creo que usar a Wannacry como ejemplo es erróneo porque el ransomware solo encriptaba archivos y documentos para pedirte un "rescate" por su liberación, no te robaba datos personales como los casos que menciona el profesor.
Estudios de casos
Yahoo
No hizo una adecuada gestión de riesgos, la alta dirección no comprometió los recurso adecuados para custodiar la información y no presento un enfoque en gestión de riesgos.
● Reporto la perdida de cerca de 3b de datos de usuarios.
● Llevo a que su valor comercial bajara.
● La competencia con google se vio afectada
Sony
PlayStation
● Se vió afectado en la plataforma de PlayStation
● Supo gestionar los riesgos
La película
Hizo una parodia al dictador norcoreano, por lo que inyectaron archivos maliciosos y obligaron una denegación de servicios, Sony tuvo que implementar controles, gestión de riesgos e informó a las agencias de inteligencia para recibir ayuda.
Baltimore
Se presento la falla llamada wanacry, por un archivo malicioso se secuestro una gran cantidad de información pidiendo dinero a cambio, Baltimore vio afectada su infraestructura por lo que perdió información, además de no poder gestionar multas, no poder pagar nóminas ni tramitar actividades del día a día.
Lecciones aprendidas
● Ningún sistema es 100%
● La SI debe tratarse con un enfoque estratégico, transversal y preventivo
● Es necesario siempre considerar el contexto y los comportamientos humanos.
● El liderazgo y la generación de competencias es fundamental para hacer una adecuada gestión de riesgos.
Reflexión:
La gestión de riesgos es un valor estratégico para organizaciones de todo tipo y de todo tamaño, incluso en forma individual, debemos tener en mente la seguridad de la información, pues podemos llegar a ser victimas tanto de forma individual, así como las organizaciones.
Mis Notas - Estudios de casos
Lecciones:
Ningún sistema es 100% seguro.
La seguridad de la Información debe tratarse con un enfoque estratégico, transversal y preventivo.
Es necesario siempre considerar el contexto y los comportamientos humanos.
El liderazgo y la generación de competencias es fundamental para hacer una adecuada gestión de riesgos.
Seria bueno que los cursos de platzi tuvieran al fin en el certificado cuantas horas se invirtió
Creo que no es necesario, pues un curso puede durar 2 horas pero tu dedicarle 16 horas por ejemplo para practicar todo lo que sale en el curso y dominarlo a la perfeccion, entonces la cantidad de horas que tiene un curso no representan en realidad la cantidad de tiempo que a un alumno le tomo poder terminarlo y pasar el examen del certificado.
Es algo relativo, porque hay gente que repite clases varias veces o ve el curso más de una vez antes de aprobar el examen. Las horas invertidas en un curso dependen enteramente de ti, puedes hacerlo todo en un día o en un mes.
