Month: marzo 2018

NSS vulnerability CVE-2017-7502. Security Advisory. Security Advisory Description. Null pointer dereference vulnerability ... More info: https://support.f5.com/csp/article/K55143785

• Con estas herramientas, claves para facilitar el cumplimiento del RGPD que comenzará a aplicarse el 25 de mayo, la Agencia amplía los materiales prácticos ofrecidos a las organizaciones para facilitar la adaptación al Reglamento.

La Agencia Española de Protección de Datos (AEPD) ha presentado hoy la Guía de Análisis de Riesgo y la Guía de Evaluación de Impacto en la Protección de Datos en un acto celebrado con asociaciones empresariales de los sectores de la banca, energía, gran consumo, seguros, publicidad y turismo, entre otros, y representantes de las Administraciones Públicas.

El Reglamento General de Protección de Datos (RGPD), que comenzará a aplicarse el 25 de mayo, establece que las organizaciones que tratan datos personales deben realizar un análisis de riesgos con el fin de establecer las medidas que sean necesarias para garantizar los derechos y libertades de las personas. En aquellos casos en los que los tratamientos impliquen un riesgo alto para la protección de datos, el RGPD dispone que esas organizaciones están obligadas a realizar una evaluación de impacto.

El RGPD supone un cambio del modelo tradicional hacia un modelo más dinámico, adaptado a la transformación tecnológica que se está produciendo en el ámbito del tratamiento de la información personal y enfocado en la gestión de los riesgos potenciales asociados al tratamiento. Con esta finalidad, el Reglamento incorpora el principio de responsabilidad activa de quienes tratan datos personales, de forma que puedan determinar qué medidas son adecuadas para proteger los datos y los derechos y libertades de las personas.

Con estas guías, que constituyen una herramienta de ayuda para el cumplimiento, la AEPD complementa los materiales prácticos que las organizaciones tienen a su disposición para facilitar la adaptación al RGPD. Para entidades que tratan datos de escaso riesgo, la Agencia ya ofrece Facilita_RGPD, un cuestionario online gratuito con el que empresas y profesionales pueden obtener los documentos mínimos indispensables para ayudar a cumplir con el Reglamento.

Más información:

Agencia Española de Protección de Datos

Apache Tomcat 6.x vulnerability CVE-2015-5174. Security Advisory. Security Advisory Description. Directory traversal vulnerability ... More info: https://support.f5.com/csp/article/K30971148

Project: Drupal coreVersion: 8.4.x-dev7.x-devDate: 2018-February-21Security risk: Critical 16∕25 AC:Basic/A:User/CI:Some/II:Some/E:Exploit/TD:DefaultVulnerability: Multiple Vulnerabilities Description: This security advisory fixes multiple vulnerabilities in both Drupal 7 and Drupal 8. See below for a list. Comment reply form allows access to restricted content - Critical - Drupal 8 - CVE-2017-6926Users with permission to post comments are able to view content and comments they do not More info: https://www.drupal.org/sa-core-2018-001

Apache Tomcat 6.x vulnerabilities CVE-2016-0714. Security Advisory. Security Advisory Description. The session-persistence ... More info: https://support.f5.com/csp/article/K58084500

Apache Tomcat 6.x vulnerability CVE-2016-0706. Security Advisory. Security Advisory Description. Apache Tomcat 6.x before ... More info: https://support.f5.com/csp/article/K18174924

Apache Tomcat 6.x vulnerability CVE-2015-5345. Security Advisory. Security Advisory Description. The Mapper component ... More info: https://support.f5.com/csp/article/K34341852

Concerning: CVE-2017-5715, CVE-2017-5753, CVE-2017-5754 Update As Of: 2018/03/05 3:00 PM PST This is an update for this issue. An updated kernel for Amazon Linux is available within the Amazon Linux repositories. EC2 instances launched with the default Amazon Linux configuration on or after January 13th, 2018 will automatically include the updated package, which incorporates the latest stable open source Linux security improvements to address CVE-2017-5715 within the kernel and builds upon More info: https://aws.amazon.com/security/security-bulletins/AWS-2018-013/

More info: https://wpvulndb.com/vulnerabilities/9037

Registros domiciliarios en Francia han dado lugar a la detención de dos individuos sospechosos de fraude CEO¹ a gran escala. Los delincuentes pertenecían a un grupo del crimen organizado involucrado en al menos 24 casos de fraude CEO causando 4,6 millones de euros en daños. Con el apoyo de Europol, la francesa Gendarmería Nacional realizó las búsquedas en París y Lille e hizo las detenciones posteriores en febrero de 2018.

La Gendarmería Nacional Francesa organizó una reunión operativa en Burdeos el 14 de febrero donde los expertos e investigadores de Bélgica, Rumania, Israel y Suiza se unieron a los especialistas encargados de hacer cumplir la ley francesa, intercambiaron sus hallazgos y acordaron un plan de acción común para el futuro.

La investigación se inició en junio el año 2016 cuando la policía francesa descubrió dos empresas francesas que habían sido víctimas de fraude CEO, incurriendo en un estimado de 1,2 millones de euros en pérdidas.

La investigación criminal ha identificado alrededor de 15 presuntos directivos de la empresa que viven en Francia y Bélgica y abrieron cuentas bancarias y empresas con el único fin de orquestar el fraude CEO y scams de la divisa. Dos individuos, que fueron identificados como reclutadores y facilitadores dentro del grupo criminal, fueron los encargados de ayudar a las personas a crear empresas (por ejemplo, bufetes de abogados y notarios) con cuentas bancarias rumanas. Las cuentas bancarias se utilizaron luego para transferir dinero a Hong Kong.

Más información:

EUROPOL

 

 ^{1Fraude CEO: este tipo de fraude consiste en que un empleado de alto rango o con capacidad para hacer transferencias o acceso a datos de cuentas, recibe un correo, supuestamente de su jefe, ya sea su CEO, presidente o director de la empresa. En este mensaje le pide ayuda para una operación financiera confidencial y urgente.Si el empleado no se diera cuenta de que es un mensaje fraudulento podría responder a su supuesto jefe y picar en el engaño. Este tipo de engaños se conoce como whaling por tratarse de phishing dirigido a «peces gordos».Si además el empleado está visualizando el correo a través de un dispositivo móvil, no podrá corroborar a simple vista que la dirección del correo origen es la correcta, salvo que haga clic sobre el nombre del remitente. Esto hace que sea algo más dificil de detectar.De no darse cuenta del engaño, podría desvelar datos confidenciales como el saldo de la cuenta al que seguiría una petición para que haga alguna transferencia urgente. Los defraudadores aprovechan ocasiones en las que el jefe está ausente o no está accesible, por ejemplo en el caso de una reunión o un viaje, para perpetrar este tipo de suplantaciones para que la víctima no tenga la oportunidad de verificar su autenticidad. En casos más sofisticados pueden previamente haber espiado, mediante un malware espía, los correos electrónicos para imitar el estilo de escritura del jefe. También han podido previamente robar las credenciales de acceso del jefe a su cuenta de correo para enviar el correo desde esta misma cuenta.}