Vulnerabilidad: Cientos de sitios WordPress son hackeados para redireccionar a sus visitantes a sitios scam
Los investigadores de seguridad cibernética han revelado una campaña masiva que es responsable de inyectar código JavaScript malicioso en sitios web de WordPress comprometidos que redirige a los visitantes a páginas fraudulentas y otros sitios web maliciosos para generar tráfico ilegítimo.
Impacto de la vulnerabilidad
La compañía de seguridad de sitios web propiedad de GoDaddy dijo que los dominios al final de la cadena de redirección podrían usarse para cargar anuncios, páginas de phishing, malware o incluso activar otro conjunto de redirecciones. En algunos casos, los usuarios desprevenidos son llevados a una página de destino de redirección falsa que contiene una verificación de CAPTCHA falsa, al hacer clic se muestran anuncios no deseados que están disfrazados para parecer que provienen del sistema operativo y no de un navegador web.
Se cree que la campaña, una continuación de otra ola que se detectó el mes pasado, ha afectado a 322 sitios web hasta el momento, desde el 9 de mayo. El conjunto de ataques de abril, por otro lado, ha violado más de 6500 sitios web. Esto implicó infectar archivos como jquery.min.js y jquery-migrate.min.js con JavaScript ofuscado que se activa en cada carga de página, lo que permite al atacante redirigir a los visitantes del sitio web a un destino de su elección.
Recomendaciones
Es importante tener en cuenta las siguientes recomendaciones de seguridad
- Acceso Limitado: El sistema debe configurarse para minimizar la cantidad de daño que se puede hacer en caso de que se vea comprometido.
- Fuentes Confiables: No obtener complementos o temas de fuentes no confiables. Se debe limitar al repositorio de wordpress.org o de empresas conocidas. Cabe mencionar que el intento de complementos o temas de fuentes externas puede ocasionar problemas.
Para mayor información:
Problemas de privacidad reportados en Zoom
La emergencia sanitaria por el brote de COVID-19 que obligó a los empleados a trabajar desde casa, generó que una gran cantidad de nuevos usuarios migraran a Zoom. Por tanto, se vuelve importante dar conocimiento sobre los problemas de privacidad reportados en la aplicación.
Al revisar la política de privacidad y algunos de sus documentos de soporte, rápidamente se descubre que Zoom le permite al anfitrión de la llamada rastrear la atención de los asistentes, así como proporcionar información personal del usuario a terceros.
Zoom sabe si está prestando atención a la llamada
Existe una función de Zoom que da seguimiento de la atención de los asistentes de Zoom y alerta al anfitrión cada vez que alguien en la llamada «no tiene el Zoom Desktop Client o la aplicación móvil en foco por más de 30 segundos». En otras palabras, si está en una llamada de Zoom y hace clic fuera de Zoom, se notificará al anfitrión de la llamada después de 30 segundos, independientemente de si se minimizó Zoom para tomar notas, revisar el correo electrónico o responder una pregunta en otra aplicación.
Esta función solo funciona si alguien en la llamada comparte su pantalla.
Si el anfitrión decide grabar la llamada para que se pueda reproducir más tarde, Zoom guarda un archivo TXT de los mensajes de chat de la reunión y lo comparte con su jefe. Según su página de soporte sobre el tema, «el chat guardado solo incluirá mensajes del anfitrión y panelistas a todos los participantes». Sin embargo, no aclara qué sucederá con los mensajes directos entre los asistentes.
La recopilación y el intercambio de datos de Zoom
De acuerdo con la política de privacidad de la empresa, Zoom recopila una gran cantidad de datos sobre usted, incluidos su nombre, dirección física, dirección de correo electrónico, número de teléfono, cargo, empleador. Incluso si no crea una cuenta con Zoom, recopilará y mantendrá datos sobre el tipo de dispositivo que está utilizando y su dirección IP. También recopila información de su perfil de Facebook (si usa Facebook para iniciar sesión) y cualquier «información que cargue, proporcione o cree mientras usa el servicio».
Para resumir la política de Zoom, dicen que no venden datos personales por dinero a terceros, pero sí comparte datos personales con terceros para el «negocio» de esas compañías lo que puede incluir información personal de Google.
Bug de hacking de la cámara
En el 2019 el consultor de seguridad Johnathan Leitschuch descubrió que Zoom configuró un servidor web local en el dispositivo MAC de un usuario que permitía a Zoom eludir las funciones de seguridad en Safari 12. Este servidor web no se mencionaba en la documentación oficial de Zoom. Se utilizó para omitir una ventana emergente que Safari 12 mostraría antes de encender la cámara de su dispositivo.
El servidor web remoto no estaba adecuadamente protegido, por lo que casi cualquier sitio podía interactuar con él. Por tanto, Zoom permitió que sitios web maliciosos tomaron control de la cámara web de los usuarios MAC sin previo aviso. Este problema fue solventado en una versión posterior (finales de julio de 2019) del software Zoom.
¿Qué hacer para proteger sus datos?
A medida que Zoom se convierte en una herramienta de uso común para videoconferencias ante la emergencia por COVID-19, hay algunos pasos que se pueden seguir para mantener los datos seguros.
- Usar dos dispositivos durante las llamadas de Zoom: si se atiende una llamada de Zoom en la computadora, se recomienda usar el teléfono para revisar correo electrónico o chatear con otros asistentes de llamadas. De esta manera, no activará la alerta de seguimiento de atención.
- No usar Facebook para iniciar sesión: puede ahorrar tiempo, pero es una práctica de seguridad deficiente y aumenta drásticamente la cantidad de datos personales a los que Zoom tiene acceso.
- Mantener actualizada la aplicación Zoom: Zoom eliminó el servidor web remoto de las últimas versiones de sus aplicaciones. Si se descargó Zoom recientemente, no hay necesidad de preocuparse por esta vulnerabilidad específica.
Referencias:
- https://securityboulevard.com/2020/03/using-zoom-here-are-the-privacy-issues-you-need-to-be-aware-of/.
- https://www.insidehook.com/daily_brief/tech/zoom-privacy-concerns
- https://www.theverge.com/2020/1/28/21082331/zoom-vulnerability-hacker-eavesdrop-security-google-hangouts-skype-checkpoint
