Develop a zero‑trust environment to protect your organization – Week in security with Tony Anscombe

Learn the basics of zero-trust, and how building a zero-trust environment can protect your organization.

The post Develop a zero‑trust environment to protect your organization – Week in security with Tony Anscombe appeared first on WeLiveSecurity

from WeLiveSecurity

Class Action Targets Experian Over Account Security

A class action lawsuit has been filed against big-three consumer credit bureau Experian over reports that the company did little to prevent identity thieves from hijacking consumer accounts. The legal filing cites liberally from an investigation KrebsOnSecurity published in July, which found that identity thieves were able to assume control over existing Experian accounts simply by signing up for new accounts using the victim’s personal information and a different email address.

The lawsuit, filed July 28, 2022 in California Central District Court, argues that Experian’s documented practice of allowing the re-registration of existing Experian accounts without first verifying that the existing account holder authorized the changes violates the

In July’s Experian, You Have Some Explaining to Do, we heard from two different readers who had security freezes on their credit files with Experian and who also recently received notifications from Experian that the email address on their account had been changed. So had their passwords and account PIN and secret questions. Both had used password managers to pick and store complex, unique passwords for their accounts.

Both were able to recover access to their Experian account simply by recreating it — sharing their name, address, phone number, social security number, date of birth, and successfully gleaning or guessing the answers to four multiple choice questions that are almost entirely based on public records (or else information that is not terribly difficult to find).

Here’s the bit from that story that got excerpted in the class action lawsuit:

KrebsOnSecurity sought to replicate Turner and Rishi’s experience — to see if Experian would allow me to re-create my account using my personal information but a different email address. The experiment was done from a different computer and Internet address than the one that created the original account years ago.

After providing my Social Security Number (SSN), date of birth, and answering several multiple choice questions whose answers are derived almost entirely from public records, Experian promptly changed the email address associated with my credit file. It did so without first confirming that new email address could respond to messages, or that the previous email address approved the change.

Experian’s system then sent an automated message to the original email address on file, saying the account’s email address had been changed. The only recourse Experian offered in the alert was to sign in, or send an email to an Experian inbox that replies with the message, “this email address is no longer monitored.”

After that, Experian prompted me to select new secret questions and answers, as well as a new account PIN — effectively erasing the account’s previously chosen PIN and recovery questions. Once I’d changed the PIN and security questions, Experian’s site helpfully reminded me that I have a security freeze on file, and would I like to remove or temporarily lift the security freeze?

To be clear, Experian does have a business unit that sells one-time password services to businesses. While Experian’s system did ask for a mobile number when I signed up a second time, at no time did that number receive a notification from Experian. Also, I could see no option in my account to enable multi-factor authentication for all logins.

In response to my story, Experian suggested the reports from readers were isolated incidents, and that the company does all kinds of things it can’t talk about publicly to prevent bad people from abusing its systems.

“We believe these are isolated incidents of fraud using stolen consumer information,” Experian’s statement reads. “Specific to your question, once an Experian account is created, if someone attempts to create a second Experian account, our systems will notify the original email on file.”

“We go beyond reliance on personally identifiable information (PII) or a consumer’s ability to answer knowledge-based authentication questions to access our systems,” the statement continues. “We do not disclose additional processes for obvious security reasons; however, our data and analytical capabilities verify identity elements across multiple data sources and are not visible to the consumer. This is designed to create a more positive experience for our consumers and to provide additional layers of protection. We take consumer privacy and security seriously, and we continually review our security processes to guard against constant and evolving threats posed by fraudsters.”

That sounds great, but since that story ran I’ve heard from several more readers who were doing everything right and still had their Experian accounts hijacked, with little left to show for it except an email alert from Experian saying they had changed the address on file for the account.

I’d like to believe this class action lawsuit will change things, but I do not. Likely, the only thing that will come from this lawsuit — if it is not dismissed outright — is a fat payout for the plaintiffs’ attorneys and “free” credit monitoring for a few years compliments of Experian.

Credit bureaus do not view consumers as customers, who are instead the product that is being sold to third party companies. Often that data is sold based on the interests of the entity purchasing the data, wherein consumer records can be packaged into categories like “dog owner,” “expectant parent,” or “diabetes patient.”

A chat conversation between the plaintiff and Experian’s support staff shows he experienced the same account hijack as described by our readers, despite his use of a computer-generated, unique password for his Experian account.

Nevertheless, most lenders rely on the big-three consumer credit reporting bureaus, including Equifax, Experian and Trans Union — to determine everyone’s credit score, fluctuations in which can make or break one’s application for a loan or job.

On Tuesday, The Wall Street Journal broke a story saying Equifax sent lenders incorrect credit scores for millions of consumers this spring.

Meanwhile, the credit bureaus keep enjoying record earnings. For its part, Equifax reported a record fourth quarter 2021 revenue of 1.3 billion. Much of that revenue came from its Workforce Solutions business, which sells information about consumer salary histories to a variety of customers.

The Biden administration reportedly wants to create a public entity within the Consumer Financial Protection Bureau (CFPB) that would incorporate factors like rent and utility payments into lending decisions. Such a move would require congressional approval but CFPB officials are already discussing how it might be set up, Reuters reported.

“Credit reporting firms oppose the move, saying they are already working to provide fair and affordable credit to all consumers,” Reuters wrote. “A public credit bureau would be bad for consumers because it would expand the government’s power in an inappropriate way and its goals would shift with political winds, the Consumer Data Industry Association (CDIA), which represents private rating firms, said in a statement.”

A public credit bureau is likely to meet fierce resistance from the Congress’s most generous constituents — the banking industry — which detests rapid change and is heavily reliant on the credit bureaus.

And there is a preview of that fight going on right now over the bipartisan American Data Privacy and Protection Act, which The Hill described as one of the most lobbied bills in Congress. The idea behind the bill is that companies can’t collect any more information from you than they need to provide you with the service you’re seeking.

“The bipartisan bill, which represents a breakthrough for lawmakers after years of negotiations, would restrict the kind of data companies can collect from online users and the ways they can use that data,” The Hill reported Aug. 3. “Its provisions would impact companies in every consumer-centric industry — including retailers, e-commerce giants, telecoms, credit card companies and tech firms — that compile massive amounts of user data and rely on targeted ads to attract customers.”

According to the Electronic Frontier Foundation, a nonprofit digital rights group, the bill as drafted falls short in protecting consumers in several areas. For starters, it would override or preempt many kinds of state privacy laws. The EFF argues the bill also would block the Federal Communications Commission (FCC) from enforcing federal privacy laws that now apply to cable and satellite TV, and that consumers should still be allowed to sue companies that violate their privacy.

A copy of the class action complaint against Experian is available here (PDF).

from Krebs on Security

GitLab se retracta de la eliminación de proyectos inactivos

El día de ayer compartimos aquí en el blog la noticia sobre que GitLab planeaba modificar sus términos de servicio para el próximo mes (en septiembre), según los cuales los proyectos alojados en cuentas gratuitas de se eliminarán automáticamente si sus repositorios permanecen inactivos durante 12 meses.

Y ahora GitLab ha revertido su decisión de eliminar automáticamente los proyectos que han estado inactivos durante más de un año y pertenecen a sus usuarios de nivel gratuito y que planeaba introducir la política a finales de septiembre. La empresa esperaba que la medida le permitiera ahorrar hasta un millón de dólares al año y ayudar a que su negocio de SaaS fuera sostenible.

Geoff Huntley, un defensor del código abierto, describió la política como «absolutamente descabellada». «El código fuente no ocupa mucho espacio en disco», dijo. “Que alguien elimine todo este código es la destrucción de la comunidad. Destruirán su marca y su buena voluntad”.

«La gente aloja su código allí porque existe la idea de que estará disponible para el público en general para reutilizarlo y mezclarlo», agregó. «Por supuesto, no hay garantía de que siempre estará alojado allí, pero las reglas no escritas del código abierto son que el código está disponible y no lo eliminas».

«Tuvimos mantenedores que extrajeron el código y hubo una gran indignación de la comunidad por eso», dijo, señalando que otros proyectos que dependen de un producto eliminado sufrirán.

“No todas las dependencias pueden compilar”, lamentó.

Sobre el caso GitLab se ha negado repetidamente a comentar sobre su plan de eliminación, y hace unas horas, la empresa, que no desmintió la información de The Register, pero no menciono nada al respecto, solo tuiteó que archivaría los proyectos inactivos en el almacenamiento de objetos:

«Hemos discutido internamente qué hacer con los repositorios inactivos. Tomamos la decisión de trasladar los depósitos no utilizados al almacenamiento de elementos. Una vez implementados, seguirán siendo accesibles, pero tardará un poco más en acceder después de un largo período de inactividad”.

El almacenamiento de objetos es una estrategia para administrar y manipular el almacenamiento de datos como unidades separadas denominadas «objetos». Estos objetos se guardan en un almacén, sin adjuntarse a archivos ubicados en otras carpetas. El almacenamiento de objetos combina los datos que componen los archivos, luego procesa todos los metadatos relevantes antes de asignarles un identificador personalizado.

“Los documentos que hemos visto informaron al personal de una reunión interna programada para el 9 de agosto. La agenda de la reunión describe el plan para eliminar repositorios de códigos inactivos, describiéndolo de la siguiente manera*:

Mencionan que después del 22 de septiembre de 2022, se implementara la política de retención de datos para usuarios gratuitos. Esta rutina limitará la cantidad de meses que un proyecto gratuito puede permanecer inactivo antes de que se elimine automáticamente junto con los datos que contiene.

Se menciona que el tweet de GitLab puede, a los ojos de algunos internautas, contradecir su propia notificación del personal:

“Otros documentos internos que hemos visto mencionan el posible uso de almacenamiento de objetos para archivar proyectos, pero les preocupa que esto aumente los costos de GitLab al crear la necesidad de múltiples copias de seguridad redundantes.

“También vimos discusiones internas que confirmaron que el código de automatización para eliminar proyectos inactivos estaba completo a fines de julio y estaba listo para implementarse después de meses de discusión y trabajo de desarrollo.

“Una de nuestras fuentes nos dijo esta tarde que fue la presión en línea, liderada por nuestros informes, lo que obligó al rival de GitHub a repensar drásticamente su forma de pensar. La noticia de la política de eliminación como un ejercicio para ahorrar dinero provocó furor en Twitter y Reddit”.

De todos modos, el tweet de GitLab fue bien recibido pero también planteó algunas otras preguntas*:

“Si solo el propietario puede recuperarlo, ¿ha pensado en el caso profundamente desafortunado en el que muere un gerente de proyecto y su código se vuelve inaccesible un año después de que cesa su actividad en el sitio*? »

El CEO de GitLab, Sid Sijbrandij, ofreció más información sobre sus planes en el siguiente tweet:

Sin embargo, la empresa se negó a responder a las solicitudes de información de los medios estadounidenses que publicaron esta información.

from Linux Adictos

Elon Musk ira a juicio el 17 de octubre y durará cinco días

El enfrentamiento legal entre Twitter y Elon Musk finalmente comenzará el 17 de octubre y durará cinco días, según un cronograma judicial publicado recientemente.

Esto se debe a que el pasado 8 de julio, Elon Musk, rescindió unilateralmente el acuerdo para comprar Twitter, alegando que la empresa supuestamente mintió sobre la proporción de cuentas automatizadas y spam en su plataforma.

Twitter ha decidido demandar a Musk para obligarle a completar su adquisición por 44.000 millones de dólares y ha optado por agilizar el juicio para que tenga lugar en septiembre durante cuatro días.

Musk dijo que no podía avanzar hasta que Twitter revelara la verdadera cantidad de cuentas falsas de bots en su plataforma. Twitter insiste en que las estadísticas de su bot son legítimas. El jefe de Tesla y SpaceX intentó terminar oficialmente el acuerdo sin ninguna otra forma de juicio pagando, por ejemplo, una indemnización por despido de mil millones de dólares, pero eso no es del gusto de Twitter.

Los abogados de Twitter presentaron una demanda en Delaware contra el (actualmente) hombre más rico del mundo, en busca de daños y perjuicios y más, e instaron al juez a acelerar el caso y fijar una fecha para el juicio en septiembre.

Pero la audiencia ahora se ha fijado oficialmente para el lunes 17 al 21 de octubre. Los equipos legales que representen a ambas partes deberán finalizar los documentos y seleccionar testigos expertos en los próximos meses.

La jueza Kathaleen McCormick, canciller del Tribunal de Cancillería de Delaware, instó a ambas partes a trabajar juntas de buena fe. Pero días antes, Musk acusó a Twitter de intentar retrasar la fecha del juicio una semana antes, al 10 de octubre, y acusó a sus abogados de no cooperar. Twitter, sin embargo, negó esas acusaciones y dijo que el equipo de Musk tampoco había sido de mucha ayuda.

“Twitter ha informado repetidamente a Musk que no tiene ninguna objeción a que el juicio comience el 17 de octubre si el tribunal tiene suficiente disponibilidad para completar un juicio de cinco días esa semana, siempre que Musk acepte no buscar más de cinco días de juicio”. según se informa, dijo la compañía en las conclusiones del tribunal. “Twitter acordó comenzar a rodar material si Musk hace lo mismo”, continúa la compañía. “Musk es la parte que está evitando discusiones productivas y disciplinadas sobre el alcance del descubrimiento al retrasar la presentación de una respuesta.

A Elon Musk le preocupa que el juez del Tribunal de Cancillería de Delaware maneje la demanda de Twitter en su contra. Kathaleen McCormick, canciller de la corte, o presidenta del tribunal, «tiene una reputación sencilla, así como la distinción de ser una de las pocas juristas que alguna vez ordenó a un comprador reacio que completara una fusión corporativa estadounidense», señalan los medios estadounidenses.

Los funcionarios de las redes sociales quieren que Musk simplemente acate los términos del acuerdo, lo que significa que deben trabajar juntos para completar la adquisición o él debe pagar los daños y perjuicios por arruinar el mercado de valores, las acciones y la reputación, y pagar la multa de mil millones de dólares por retirarse del acuerdo.

Pero Musk dice que quería cerrar el trato rápidamente, pero no pudo después de que de repente se dio cuenta de que el robot de spam era un gran problema en el sitio de Twitter y un gran obstáculo para las perspectivas comerciales futuras.

Elon Musk ha optado por contraatacar a Twitter y a su vez presenta una denuncia contra Twitter por no tener que comprar la compañía. La demanda de Elon Musk se presentó horas después de que la canciller Kathaleen McCormick del Tribunal de Cancillería de Delaware permitiera un juicio de cinco días a partir del 17 de octubre para determinar si Musk puede renunciar a la autorización.

«Cuando el mercado bajó y el acuerdo de precio fijo se volvió menos atractivo, Musk cambió de tono y de repente exigió una ‘verificación’ de que el spam no era un problema grave en la plataforma. Twitter, y afirmó que necesitaba realizar una ‘diligencia’ con urgencia». que había abandonado expresamente. La estrategia de Musk también es un modelo de mala fe”, dijo Twitter en su denuncia original.

from Linux Adictos

Chrome OS 104 llega con el soporte de Smart Lock, mejoras y mas


Se dio a conocer la nueva versión del sistema operativo Chrome OS 104 que llega poco después del lanzamiento del navegador «Chrome 104», versión en la cual una de las principales novedades que se destaca es el desbloqueo del sistema mediante el uso de un Smartphone, mejoras en notificaciones y más.

Para quienes desconocen de este OS, deben saber que está basado en el kernel de Linux, el kit de herramientas de compilación ebuild/portage y los componentes abiertos y el navegador web Chrome 88.

El entorno de usuario de Chrome OS está limitado a un navegador web y en lugar de programas estándar, se utilizan aplicaciones web; sin embargo, Chrome OS incluye una interfaz completa de múltiples ventanas, escritorio y barra de tareas.

Principales novedades de Chrome OS 104

En esta nueva versión que se presenta del sistema, se destaca que la interfaz de Smart Lock se actualizó para permitir al usuario poder hacer uso de su teléfono inteligente Android para desbloquear el Chromebook. Para habilitar esta nueva función se debe vincular el teléfono inteligente a Chrome OS en la configuración «Configuración de Chrome OS> Dispositivos conectados».

Otro de los cambios que se destaca de esta nueva versión, se ha agregado la capacidad de llamar al calendario con la representación de días por meses al panel de configuración rápida y la barra de estado. Desde el calendario, puede ver inmediatamente los eventos marcados en Google Calendar.

Ademas de ello en esta nueva versión de Chrome OS 104, se destaca que se ha rediseñado el diseño de la interfaz de visualización de notificaciones, ademas de que se ha implementado la agrupación de notificaciones según remitentes.

Tambien podremos encontrar que se ha agregado soporte para anotaciones en documentos PDF al visor multimedia de la Galería. El usuario ahora no solo puede ver PDF, sino también resaltar texto, completar formularios interactivos y adjuntar anotaciones arbitrarias.

Por otra parte, tambien podremos encontrar que se agregó un botón para cerrar todas las ventanas y pestañas asociadas con el escritorio virtual seleccionado a la vez. El botón «Cerrar escritorio y ventanas» está disponible en el menú contextual que se muestra al pasar el mouse sobre el escritorio virtual en el panel.

El sistema de acceso remoto Chrome Remote Desktop ahora tiene la capacidad de trabajar con múltiples monitores. Al conectar varias pantallas a un dispositivo, el usuario ahora puede elegir en qué pantalla mostrar la sesión remota.

Se implementó la capacidad de realizar un reinicio automático programado durante una sesión de usuario activa. Si la sesión está activa, se mostrará una advertencia especial al usuario una hora antes del reinicio programado por el administrador.

Además, se anunció la implementación en la aplicación Google Fotos de la capacidad de editar videos y crear videos a partir de un conjunto de clips o fotos, que se ofrecerá al usuario en la actualización de otoño.

De los demás cambios que se destacan de esta nueva versión de Chrome OS 104:

  • Al buscar en la interfaz del iniciador (Launcher), se proporciona para mostrar recomendaciones para instalar aplicaciones del catálogo de Play Store que coincidan con la consulta de búsqueda.
  • También se destacan las nuevas aplicaciones preinstaladas para crear screencasts y mantener notas escritas a mano.
  • La interfaz de administración brinda la capacidad de exportar informes CSV sobre el uso de aplicaciones y complementos, así como una nueva página con información detallada sobre la aplicación seleccionada.
  • Se propone probar la funcionalidad para crear quioscos de Internet y puestos de demostración digital. Las herramientas para organizar el trabajo de los quioscos se suministran de forma paga ($25 por año).
  • Se ha modernizado el salvapantallas, en el que ahora puedes configurar la visualización de imágenes y fotos del álbum seleccionado. Por lo tanto, en modo inactivo, el dispositivo se puede utilizar como un marco de fotos digital.
  • Soporte implementado para variantes claras y oscuras de temas, así como el modo de selección automática de estilo oscuro o claro.

Finalmente si quieres conocer más al respecto sobre esta nueva versión del sistema, puedes consultar los detalles dirigiéndote al siguiente enlace.

Descargar Chrome OS

La nueva build ya está disponible para la mayoría de las Chromebooks actuales, además de que desarrolladores externos han formado versiones para computadoras comunes con procesadores x86, x86_64 y ARM.

Por último y no menos importante, si eres usuario de Raspberry debes saber que también puedes instalar Chrome OS en tu dispositivo, solo que la versión que puedas encontrar no es la más actual además de que aún se tiene el problema con la aceleración de video por hardware.

from Linux Adictos

Develop a zero‑trust environment to protect your organization – Week in security with Tony Anscombe

Learn the basics of zero-trust, and how building a zero-trust environment can protect your organization.

The post Develop a zero‑trust environment to protect your organization – Week in security with Tony Anscombe appeared first on WeLiveSecurity

from WeLiveSecurity