" En un arrebato de ira inusual, el fundador y antiguo responsable de Menéame, Gallir (también conocido como Perl en honor a una lengua muerta), ha utilizado hoy su cuenta de twitter para criticar duramente el compromiso con la seguridad informática de los actuales gestores de Menéame «En mis tiempos si nos llegaba un reporte de seguridad lo arreglabamos inmediatamente» ha declarado el profesor y activista de origen uruguayo [leer más] "

Un modelo del router de fibra que Telefónica instala a clientes residenciales a través de sus marcas Movistar y O2 está afectado por una vulnerabilidad XSS que permite ejecutar código javascript en el equipo del cliente con solo visitar una URL. 5 meses después de hacerse pública, la operadora aún no ha solucionado el problema.

Microsoft aceptó esta cadena de errores como "Importante" (gravedad), "Spoofing" (impacto) en el programa de recompensas de errores en la nube de O365. Esa es una de las calificaciones más bajas posibles en gravedad. Al menos ahora tenemos una nueva broma entre colegas: cada vez que tenemos un error de ejecución remota de código (RCE), lo llamamos "Importante, Spoofing". ¡Gracias Microsoft! [...]

Se han detectado nueve vulnerabilidades en las bombillas Osram Lightify, tanto en la versión Home como en la versión Pro. Entre estas vulnerabilidades destacan la divulgación accidental de información de la configuración de la red a la que están conectadas, XSS (Cross-site scripting) persistente en la consola web de gestión y ejecución de comandos en los propios dispositivos sin necesidad de autenticación.

Vulnerabilidades detectadas en la web de Marca España

Si eres uno de los millones de clientes de Starbucks que se registraron y dieron detalles de sus tarjetas de crédito en el sitio web de la compañía, tus datos bancarios son vulnerables a los piratas informáticos. Mohamed M. Fouad un investigador independiente de seguridad informática de Egipto ha encontrado tres vulnerabilidades críticas en el sitio web de Starbucks que permiten a los atacantes hackear tu cuenta.

Un componente Open Source usado en la web de Wikileaks para la visualización de documentos PDF mediante Flash permite realizar ataques XSS (Cross-site scripting). Este incidente aparece justo después de que la revista Wired informase hace unas semanas que en 2012 el FBI utilizó un componente basado en Flash para descubrir y desenmascarar a los usuarios de Tor y encontrar su verdadera IP(Internet Protocol) en una operación que tuvieron como objetivo a los usuarios de los sitios web de pornografía infantil alojadas en la red Tor.

Parece que solo los incautos pueden caer en este tipo de estafas, pero la que os vamos a enseñar a continuación, está afectando a más personas de lo esperado. Tanto es así que Google Chrome y otros navegadores muestran una advertencia dentro del propio navegador cuando alguien "intenta hacer el truco" advirtiéndole del peligro que corre. Este tipo de ataques ya se pusieron de moda hace tiempo cuando algunas webs maliciosas, pedían insertar cierto código Javascript en la barra del navegador.

Apareció el nuevo Megaupload ahora bajo el nombre de Mega. Todo mundo loco por crear sus cuentas subir archivos, subir sus nopors y demás, pero mientras algunos andan en ello otros compañeros de la red se la pasan jugando, viendo la seguridad de Mega y ya apareció una vulnerabilidad XSS Stored

"Según se ha avisado en los foros de soporte, de lo que me ha avisado José Conti, el plugin JetPack está utilizando una versión vulnerable de CSSTidy, el módulo que permite la personalización de CSS, que utiliza para esta funcionalidad el archivo ‘tusitio.com/wp-content/plugins/jetpack/modules/custom-css/csstidy/css_optimiser.php‘, que estaría accesible directamente, y permitiendo inyectar código malicioso en tu sitio."

Un usuario, procedente de Egipto, ha explicado en el foro Darkcode (vídeo incluido) un método para aprovechar una vulnerabilidad del correo Yahoo, que permite secuestrar cuentas y lo ha puesto a la venta por 700 dólares. La vulnerabilidad está basada en un agujero de seguridad XSS (cross-site scripting), que permiten a un tercero inyectar un código JavaScript en una página vista por el usuario. El ataque se desencadena al pinchar en un enlace de un correo recibido. Desde Yahoo aclaran que esta vulnerabilidad podría ser fácilmente resuelta...

En las diferentes pruebas realizadas se ha detectado alguna vulnerabilidad en más del 90% de las pruebas realizadas y en más del 75% se ha hallado por lo menos una vulnerabilidad crítica. De las vulnerabilidades críticas detectadas aproximadamente un 23% han sido Inyecciones SQL y un 12% Cross Site Scripting (XSS).

Durante los últimos días mas de 1 millon de servidores han sido infectados con un nuevo tipo de troyanos que están infectando masivamente servidores PHP de todo el mundo. Sus nombres: Sirefef y Waledac. Si tu servidor no para de re-infectarse y no sabes que hacer, esta es la historia de saber lo que esta pasando, como detectarlos en el servidor y protegerte. Conclusión: No vuelvas a usar Internet Explorer durante el resto de tu vida.

Un cliente descontento de Telefónica ha recurrido a un ataque XSS en la web de Movistar para protestar por la situación de su línea, que sólo le permite conectarse a Internet a 56 Kbps al no disponer de cobertura ADSL. La web de Movistar aparentemente contiene una nueva sección denominada "Súplicas de cobertura ADSL". En su interior se relatan las peripecias de un cliente de Telefónica que no dispone de cobertura ADSL y sigue utilizando un módem RTB para acceder a Internet.

Las nuevas tecnologías nos facilitan mucho las quejas ante empresas e instituciones. Pero cuando ni llamando, ni tuiteando ni escribiendo conseguimos que nos hagan caso, hay quien acude directamente al ataque informático.De esta peculiar forma de protesta nos llama la atención no sólo que aparentemente firma con su nombre, sino que en lugar de tumbar o secuestrar la página entera al estilo Anonymous, se ha limitado a colar su protesta dentro de la web, conservando el formato de la página.

Levent Kayan, un consultor de seguridad de Berlín, publicó hace un par de días su descubrimiento; una vulnerabilidad que permitiría (a un atacante remoto) acceder a la cuenta de un usuario. El problema se encuentra en el formulario de usuario, el cual contiene un campo para consignar el número de teléfono móvil y en el que se puede inyectar código en JavaScript que, posteriormente, puede ser ejecutado cuando un contacto accede a la ficha “maliciosa” del usuario...

Bankia recibe un XSS de parte de Anonymous, dentro de la operación #optaketheweb

Bankia recibe un XSS de parte de Anonymous, dentro de la operación #optaketheweb t.co/q8ijEda

Investigadores del grupo (CeSeNA) han encontrado una ”vulnerabilidad” en google: La he probado y efectivamente funciona resulta que en la caja de búsqueda de google puedes poner la imagen que quieras. Esto se debe a que la variable cof no está filtrada correctamente.

Un investigador de seguridad encontró un error de seguridad en Google.com. Google se niega a pagar la recompensa prometida para quien encontrara un fallo en su web, argumentando que el error esta en Internet Explorer. Aun así, el gigante de las búsquedas corrige el error después de responder al investigador.

"¿Estás harto de los pedantes que te dicen en los foros que tus palabras no existen? ¿Quieres gastarle una broma a alguien? ¡Tranquilo, porque la RAE está de tu parte!" Así se anuncia una página web que permite construir enlaces para que parezca que ciertas palabras aparecen en el diccionario. La web es totalmente inocua, pero demuestra la importancia de la seguridad web.

La página en Internet de la Real Academia Española sufrió ayer un ataque por parte de piratas informáticos que consiguieron durante algún tiempo que al teclear el término «leysinde» (sic) apareciese con el significado de censura en Internet. Concretamente, en la pantalla se podía leer: «leysinde. (Del b. lat. legissindium). 1. f. Dícese de la censura de Internet».

El típico canal de ataque usando vulnerabilidad XSS es a través de un gestor de correo web como OWA usando SMTP, pero en este caso el ataque es un poco inusual: uno tiene que escribir un libro! El libro debe contener una cadena diseñada de manera que esquive el débil/inexistente filtro, estar disponible en Amazon, y por último Amazon tiene que ofrecer la opción de "Search in this book".

Artículo muy interesante y didáctico en el que se describe paso a paso el proceso de creación del primer gusano que, en octubre de 2005, explotaba las vulnerabilidades de las redes sociales (en concreto de MySpace). Por esta "broma" el autor, Samy Kamkar, fue condenado con una pena de tres años de libertad condicional y 90 días de trabajos para la comunidad.