Últimas noticias
- Usuarios de Skype afectados por ransomware en anuncios maliciosos 01-Abr-2017
- Java y Flash encabezan la lista programas más obsoletos 31-Mar-2017
- Apple soluciona error en Safari usado en ataques de ransomware 28-Mar-2017
- Utilizan botnet GiftGhostBot para robar saldos de tarjetas de regalo 28-Mar-2017
- Expertos señalan que hay archivos sensibles expuestos en Docs.com 28-Mar-2017
- Spammers modifican archivos RTF para ocultar malware 27-Mar-2017
- Estafas de bitcoins infestan las redes sociales 25-Mar-2017
Vulnerabilidad de Inyección SQL en CMS de Mossack Fonseca
Un hacker anónimo ha señalado una vulnerabilidad de tipo inyección SQL en los sistemas de TI del bufete panameño de abogados Mossack Fonseca, que indicaría la baja calidad en materia de seguridad en tecnologías de la información de la empresa, que probablemente contribuyó a la mayor violación de los datos.
El investigador “underground”, que usa Twitter como 1X0123, público una captura de pantalla del micro-blog para demostrar la falla, que parece estar en el CMS de la firma.
La semana pasada se generó un escándalo debido a un importante ataque cibernético que expuso 11.5 millones de documentos confidenciales que pertenecen a Mossack Fonseca, relacionados con dudosos asuntos fiscales en el extranjero de muchos líderes mundiales.
Se especuló que la empresa pudo haber sido objeto de fuga de información, antes de que saliera y admitiera que el problema fue sin duda causado por una intrusión externa en su servidor de correo electrónico.
Un análisis realizado por Wired afirmó que el portal de clientes de Mossack Fonseca ejecuta un CMS de código abierto de Drupal, pero que la versión utilizada por la firma contenía 25 vulnerabilidades, ya que no había sido actualizado desde agosto de 2013.
"Todos los grandes bufetes de abogados tienen grandes cantidades de información sensible y conocen el riesgo planteado por cibercriminales, por lo que es inaceptable que, a pesar de la violación inicial, la compañía no ha asegurado plenamente sus sistemas y continúa en riesgo con un vector de ataque tan conocido y evitable", dijo Paul Farrington, arquitecto senior en Veracode.
"Después de numerosas violaciones de alto perfil debido a las inyecciones SQL en los últimos años, durante más de una década esta vulnerabilidad se ha encontrado con regularidad en el Top 10 de OWASP (proyecto ampliamente aceptado para la seguridad de aplicaciones web), es preocupante el número de empresas cuyo enfoque apático sobre las aplicaciones les lleva a brechas de seguridad por usar este exploit".
El investigador que ha publicado los detalles de la falla de inyección SQL en Twitter parece haber estado detrás de una serie de revelaciones durante las últimas semanas, incluyendo el incidente en el LA Times.
