El operador inalámbrico visible de Verizon confirma el ataque de llenado de credenciales - Calendae | Informática, Electrónica, CMS, Ciberseguridad

El operador inalámbrico visible de Verizon confirma el ataque de llenado de credenciales

Hola, ¿qué tal colega?. Soy Eduardo Arroyo y en esta ocasión te voy a contar sobre El operador inalámbrico visible de Verizon confirma el ataque de llenado de credenciales

El operador inalámbrico visible de Verizon confirma el ataque de llenado de credenciales

Visible dice que sí, las cuentas de usuario han sido secuestradas, pero se ha negado una infracción. Hasta el día de hoy, los usuarios continúan publicando historias de contraseñas cambiadas por la fuerza y ​​se quedan atascados con las facturas de los nuevos y costosos iPhones.

Visible Wednesday de Verizon – Un operador inalámbrico totalmente digital súper asequible – confirmado de qué se han estado quejando los clientes en Reddit y Twitter durante toda la semana: perdieron el control de sus cuentas; han cambiado sus contraseñas y direcciones de envío; y algunos se quedaron atascados con facturas de nuevos iPhones caros.

El transportista negó haber sufrido una violación de datos. Más bien, el miércoles, describió lo que parece un ataque de relleno de credenciales:

Visible es consciente de un problema en el que se ha accedido y / o facturado a algunas cuentas de miembros sin su permiso. Tan pronto como nos enteramos del problema, iniciamos inmediatamente una revisión y comenzamos a implementar herramientas para mitigar el problema y permitir controles adicionales para proteger aún más a nuestros clientes.

Nuestra investigación indica que los actores de amenazas pudieron acceder al nombre de usuario / contraseña de fuentes externas y aprovechar esa información para acceder a cuentas visibles. Si usa su nombre de usuario y contraseña Visible en varias cuentas, incluido su banco u otras cuentas financieras, le recomendamos que actualice su nombre de usuario / contraseña con esos servicios.

La protección de la información de los clientes, incluida la protección de las cuentas de los clientes, es de suma importancia para nuestra empresa y nuestros clientes. Le recordamos que nuestra empresa nunca lo llamará pidiendo su contraseña, preguntas secretas o PIN de cuenta. Si cree que su cuenta se ha visto comprometida, comuníquese con nosotros a través del chat en visible.com. —Declaración del miércoles de Visible, publicada en Reddit

¿Llegar a través del chat? Hágalo no, según los clientes que informaron que no pudieron acceder al chat, incluido este usuario de Twitter:

Estoy tratando de charlar y no puedo. Quien cambió mi dirección de correo electrónico también pidió un teléfono

– Debbie Ondrasek (@ dao0815) 12 de octubre de 2021

Otro usuario de Reddit comparó el servicio al cliente de Visible al fuego de un basurero.

Visible Wireless es propiedad de Verizon y se ejecuta en la sólida red 4G LTE de la empresa matriz. Ofrece una cosa: planes de datos asequibles y todo lo que pueda comer. «Todo digital» significa que no tiene tiendas físicas.

Los suscriptores visibles y la popularidad se dispararon durante el año pasado, ayudados por anuncios con Kevin Bacon vendiéndolo a todo el mundo dentro de X grados, desde Kevin Bacon, desde su dentista hasta un doble de riesgo envuelto en llamas.

Sayonara y gracias por los iPhones

En la mayoría de estos casos de cuentas Visibles secuestradas, la dirección de correo electrónico asociada con la cuenta ha sido restablecida por un atacante desconocido utilizando el método de pago de la cuenta para solicitar un teléfono.

«Mi cuenta ha sido pirateada y se ha enviado a [sic] iPhone 13 por valor de 1k que se quitó de mi PayPal «, un usuario de Reddit escribió. Otro Ella dijo«, Literalmente, ayer me registré en Visible y compré un [sic] IPhone de $ 812 a través de su sitio web. Esta mañana me desperté con un correo electrónico que me decía que se había cambiado la dirección de correo electrónico asociada a mi cuenta. […] 7 horas después, recibí un correo electrónico que decía que la dirección de envío de mi cuenta había sido cambiada y no, todavía no pude iniciar sesión «.

Solo un pequeño hipo, visible al principio

Cuando las quejas comenzaron a llegar por primera vez el lunes, Visible dijo que solo un «pequeño número» de cuentas habían sido modificadas sin autorización y que estaba «trabajando duro para tomar medidas de protección para proteger estas cuentas».

Desde Visible Monday declaración en Reddit: «No creemos que ningún sistema de Visible haya sido pirateado o comprometido, ni que este acceso no autorizado a su cuenta de Visible esté en curso».

Declaración visible que niega una infracción. Fuente: Reddit.

La historia fue recogida por primera vez por Desarrolladores de XDA, que detectó los informes de Reddit Sutileza visible y ve Gorjeo. Uno de estos, a partir del martes:

@Visible ¡Me acaban de piratear! ¡Se enviaron un teléfono y cambiaron mi dirección! ¡Urgente!’ Cómo paro esto !!!! ¡¡PRISA!!

– Kelley (@ ksmrz77) 12 de octubre de 2021

Aparentemente, no ha terminado

Desafortunadamente, a partir del jueves, los clientes todavía se quejaban de que no podían comunicarse con Visible en el chat y dijeron que el ataque aún estaba en curso.

«Mis direcciones fueron cambiadas en mi cuenta en la última hora, luego encontré este subreddit. Qué desastre», dijo un usuario de Reddit el jueves por la mañana. “Me alegro de haber encontrado este hilo. Sí, la piratería aún está en curso. Estoy intentando ponerme en contacto con el agente de chat visible ahora «.

¿Por qué no MFA?

Los clientes estafados se han quejado del aparente fracaso de Visible para ofrecer autenticación multifactor (MFA) para proteger las cuentas. No es que MFA sea una panacea, claro: las preguntas débiles de desafío de los representantes de servicio al cliente han facilitado a los estafadores el secuestro de una línea telefónica y eludir el MFA para piratear cuentas, en los llamados ataques de intercambio de SIM.

Todavía, OWASP enumera MFA como la protección más sólida contra los ataques de relleno de credenciales, ataques que involucran a los actores de amenazas que prueban las credenciales que han absorbido de las infracciones en otros sitios con la esperanza de que los usuarios hagan lo que hacen los usuarios: reutilizar pares de correos electrónicos / contraseñas.

Threatpost se puso en contacto con la empresa matriz de Visible, Verizon, para obtener información específica sobre los «pasos de protección» que dijo que había implementado para proteger las cuentas afectadas y evitar futuros accesos no autorizados a la cuenta. Por ejemplo, siguiendo la lista de protecciones de OWASP, Visible podría haber optado por implementar una de estas defensas:

  • AMF
  • Contraseñas secundarias
  • ALFILER
  • Preguntas de seguridad
  • CAPTCHA
  • Lista de IP bloqueadas
  • Huella dactilar del dispositivo

Verizon no regresó de inmediato a Threatpost.

Cambia tu contraseña visible

Visible distribuye instrucciones de higiene de contraseñas estándar, pidiendo a los usuarios que cambien sus contraseñas por algo seguro y único. Desafortunadamente, durante lo que parece ser una ráfaga de redadas de cuentas, los usuarios se quejaron de que la función de cambio de contraseña no funcionaba, aunque el problema parece haberse solucionado el jueves por la mañana.

Además, la compañía también anunció actualizaciones en su proceso de compra, que ahora requerirá una interacción específica del usuario.

En el futuro, cualquier compra requerirá que vuelva a validar su información de pago como una medida de seguridad adicional. Si su cuenta se carga incorrectamente, usted no será responsable y los cargos serán cancelados. -Visible

Investigadores: un plan no es barato si no detiene las compras falsas de iPhone

Visible es un operador de hot to hot, gracias a sus planes que comienzan en $ 25 miserables. Pero eso no es una ganga si no puede asegurar su cuenta con MFA, dijeron los profesionales de seguridad a Threatpost.

Bill Lawrence, CISO de SecurityGate, señaló que la falta de MFA es, en este caso, como una invitación para iPhones gratis: “Las cuentas de servicios públicos, como teléfonos celulares o electricidad, a menudo requieren que los métodos de pago estén asociados a una cuenta de cliente. Este escenario parece que los atacantes podrían cambiar el acceso a la cuenta y otorgarse nuevos iPhones con el crédito de la víctima «, dijo por correo electrónico.

Lawrence aconsejó a los clientes que no solo buscaran MFA al elegir un servicio de mensajería, sino que también mantuvieran las manos de la empresa alejadas de los detalles de la cuenta bancaria: «Al configurar este tipo de cuentas, primero, busque varios factores de autenticación y habilítelos. Además , tenga cuidado de vincular las cuentas bancarias directamente, y si está usando una tarjeta, las tarjetas de crédito tienen una mejor protección contra el fraude que las tarjetas de débito «.

Además, Lawrence dijo que nunca debe hacer clic en esas pequeñas casillas en los sitios web, lo que incita a los usuarios a guardar la información de su tarjeta de crédito para «facilitar la próxima compra».

«Esto hace que su información se pierda en futuras infracciones de cualquier empresa», dijo. “Utilice un administrador de contraseñas o su navegador en su lugar. Y esté atento con regularidad a otras actividades fraudulentas en sus cuentas.

Tienes que hacer que los datos sean inútiles

Ruston Miles, fundador y consultor de ciberseguridad de Bluefin, sugirió que la protección de datos no se trata solo de proteger el perímetro en estos días, dadas las formas en que los atacantes han ideado para detonarlo. El perímetro de seguridad de una empresa sigue siendo importante, pero el objetivo también debería ser «hacer que lo que está dentro de ese perímetro sea absolutamente inútil», dijo.

Él está hablando de cifrado: hash y salazón de contraseñas y también uso de tokenización para enmascarar datos. “Lo llamamos devaluación de datos; esencialmente se trata de tomar todos los datos confidenciales de los clientes, como los detalles de inicio de sesión, y cifrarlos o convertirlos en token o ambos, según el caso de uso comercial «, comentó.

«El cifrado y la tokenización enmascaran los datos para que no sean legibles y, por lo tanto, no se puedan vender en la Dark Web», dijo Miles. “Ninguna empresa u organización podrá prevenir al 100% una violación de datos, pero pueden evitar que los datos violados se vean comprometidos … Es como las viejas películas del oeste donde los ladrones roban la caja fuerte del banco, solo para descubrirlo. luego que la caja fuerte es demasiado fuerte para que entren ”.

.

No te olvides compartir en en tu Twitter y Facebook para que tus colegas lo disfruten

??? ? ? ???

Comparte