Toda persona que compre por primera vez el equivalente a USD $1 en créditos (10) de Facebook, recibirá automáticamente y de forma gratuita USD $4 extra (obviamente, también en créditos). Ahora, dependiendo de si los desarrolladores han adoptado o no el modelo para realizar transacciones dentro de sus propias aplicaciones, esos créditos podrían entregarse en el sistema monetario de Facebook, o en el propio del desarrollador.

Obviamente que con esto, más que buena voluntad, se persiguen dos fines. Uno, que los desarrolladores implementen métodos de pago dentro de las propias aplicaciones para “maximizar el valor que puedan obtener de las ofertas”, algo que en Facebook insisten constantemente. Y segundo, que la gente común de Facebook pase por el proceso de ingresar su tarjeta de crédito o su cuenta de PayPal a la red social, cosa de que la segunda y las posteriores compras sean tan sencillas de hacer como solo dar click en “Buy”.

Facebook ya le avisó a los desarrolladores que las ofertas corren por cuenta de ellos, por lo que los gastos en los que incurran los jugadores con los créditos gratuitos se les van a pagar completamente. Por otra parte, esta promoción es para todo mundo, y quienes vivan fuera de Estados Unidos deberían encontrar los precios expresados en moneda local.

Eso si, la promoción se muestra en barras laterales y ofertas que aparecen dentro de los mismos juegos, como una forma de evitar que los usuarios traten de hacer trampita alguna. Como generalmente pasa.

Link: Payments update (via TechCrunch)

El grupo autodenominado como “Grupo-XP” y que, según ellos, se relacionan con Anonymous explicó que lograron acceder a los datos luego de acceder al popular sitio israelí de deportes One.co.il; lugar en donde lograron acceder a la base de datos de sus usuarios y en donde se encontraban registrados los números de las tarjetas de crédito.

Entre los datos a los que tuvieron acceso los atacantes se cuentan las direcciones personales, números de tarjeta de crédito, códigos de seguridad, nombres, números de teléfono y el de la tarjeta nacional de identidad.

Según la información que se ha logrado recolectar se trataría de los datos de unas 400.000 tarjetas, aunque algunos personeros de las compañías involucradas han señalado que existen muchos registros duplicados entre los datos robados, por lo que los afectados alcanzarían a unas 14.000 personas.

Como una forma de reducir la exposición al riesgo el Banco de Israel solicitó a sus clientes que revisen periódicamente los movimientos registrados en sus tarjetas y, de existir un número considerable de denuncias, procederán con el bloqueo de todas las tarjetas.

Link: Saudi hackers publish Israeli personal data online (TGDaily)

Ahora fue el Director General de la compañía, Gabe Newell, quien entregó mayores detalles sobre el ataque que sufrió el servicio durante el fin de semana, dejando en evidencia que este no sólo afectó a los foros sino que alcanzó también a la Base de Datos de Steam.

Es así como el propio Newell reconoce que dicha Base de Datos contiene información relacionada con los nombres de usuario, sus contraseñas, detalle de compras de juegos, direcciones de e-mail, dirección de facturación y, como si lo anterior fuera poco, información encriptada de las tarjetas de crédito.

De inmediato se aclara que en la investigación que han realizado hasta el momento, no han logrado detectar algún uso fraudulento con los números de las tarjetas de crédito (los maleantes tendrían que desencriptar la información), de todas maneras recomiendan a sus usuarios mantener vigilada la actividad de dichos plásticos y sus respectivos estados de cuenta.

Como suele suceder en estos casos y como medida adicional de protección se pedirá a todos los usuarios de los foros del sitio que cambien sus contraseñas en cuanto tengan acceso a sus cuentas. Lo anterior no será obligatorio para aquellos que mantengan una cuenta en Steam, aunque de todas maneras se recomienda cambiarla por otra sobre todo si es la misma que el usuario utilizaba en los foros.

Links:
- Se reporta que los foros de Steam están offline por supuesto hackeo (Niubie)
- Valve: Hackers Accessed Steam Users’ Encrypted Passwords, Credit Cards (Wired)

Si dices que eres Anonymous, y haces algo como Anonymous, entonces Anonymous lo hizo. Sólo porque el resto de Anonymous no esté de acuerdo, no significa que Anonymous no lo haya hecho”

Parece un trabalenguas, pero eso es lo que dijo un “miembro veterano de Anonymous” al Financial Times respecto del ataque a Sony que ha puesto en riesgo los datos personales de unos 100 millones de clientes, incluyendo varios millones de números de tarjeta de crédito.

“El hacker que hizo esto estaba apoyando los movimientos de OpSony“, declaró otro activista al periódico. Según su teoría, un grupo dentro de Anonymous fue “más allá” de lo que se había planeado originalmente, que era simplemente interrumpir los servicios de la compañía, y accedieron a los servidores y detalles de cuentas, descargando bases de datos.

Uno de los hackers señaló que había visto discusiones sobre detalles técnicos de las vulnerabilidades de Sony que permitieron a los atacantes entrar a los servidores, en los chats de Anonymous, poco antes de la intrusión.

Por la naturaleza de Anonymous – un grupo distribuido y sin cabeza, donde nadie sabe quién es miembro y quién no – es difícil decir si fue o no fue Anonymous. Sony ya ha indicado que sus sospechas recaen sobre este grupo, mientras que los comunicados oficiales de Anonymous dicen que ellos no han tenido que ver con el robo.

Link: Hackers admit Anonymous likely behind Sony attacks (Financial Times)

Sony afirmó ayer que el ataque que vulneró sus servidores se realizó al mismo tiempo que Anonymous lanzaba un masivo DDoS en su contra, de modo que la empresa estaba distraída defendiéndose de ese ataque cuando los hackers entraron a robar información. Anonymous lanzó efectivamente ataques contra Sony, en defensa de GeoHot, después de que la japonesa demandara al chico por crear el jailbreak de la PS3.

“Si se realiza una investigación honesta y legítima sobre el robo de tarjetas de crédito, Anonymous será encontrado inocente”, afirmó la agrupación en un comunicado.

Aunque somos un grupo distribuido y descentralizado, nuestro ‘liderazgo’ no aprueba el robo de tarjetas de crédito. Estamos preocupados de la erosión de la privacidad, los usos justos, el aumento del feudalismo corporativo, el abuso de poder y las justificaciones de ejecutivos y líderes que se creen inmunes personal y financieramente por las acciones que toman en nombre de las corporaciones y oficinas públicas”.

El robo de datos efectivamente sería algo inusual para Anonymous, que típicamente se encarga de molestar a empresas que actúan (según su criterio) en contra de la libertad de expresión y ciertas causas políticas. De todos modos, Anonymous no niega directamente su participación en el ataque a la PSN – sólo niega haber robado información y tarjetas de crédito. Sony ya sugirió ayer que Anonymous quizás actuó en conjunto con un segundo grupo que robó la información – o bien ese otro grupo se aprovechó del ataque de Anonymous. Como sea, la investigación está pendiente.

Hackers atacaron la PSN el 19 de abril, forzando a Sony a desconectar la red, que tiene más de 77 millones de usuarios. Desde entonces, el servicio ha estado sin funcionar, y a eso se han ido sumando más servicios afectados, como SOE. Se estima que más de 100 millones de cuentas pueden estar comprometidas.

Link: Anonymous denies involvement in PlayStation Network credit card theft scandal (Venture Beat)

La compañía bajó los servidores cuando se dio cuenta de los ataques en la tarde de ayer, indicando que se perdieron registros de pagos de unos 10.700 usuarios de Austria, Alemania, Holanda y España, correspondientes a una base de datos desactualizada de 2007.

De los 12.700 números de tarjetas de crédito (sin código verificador) vulnerados, 4.300 serían de japoneses, mientras que el resto corresponde a los países europeos ya mencionados.

Siguiendo el mismo sistema de anunciar con mucho retraso las cosas importantes, Sony indicó que el ataque a SOE ocurrió el 16 o 17 de abril. La empresa aseguró que SOE y PSN no pertenecen a la misma red de servidores. Aún así, “hay algunos niveles de arquitectura que se sobreponen. Las intrusiones fueron de naturaleza similar. Este NO es un segundo ataque”, dijo la empresa, indicando que los datos fueron extraídos en la misma ocasión en que se infiltró la PSN y el servicio Qriocity. Como sea, la seguridad de Sony está dejando bastante que desear.

Link: Sony Online Entertainment announces theft of data from its systems (SOE vía Niubie)

Según investigadores de la firma de seguridad Trend Micro, esa base de datos (que incluye también nombres, direcciones, nicknames y contraseñas de 70 millones de clientes) ya está siendo discutida en múltiples foros de hackers, incluyendo indicaciones de que quienes se introdujeron en la PSN pretenden vender la lista de tarjetas de crédito por unos US$100.000 o más.

De acuerdo a Kevin Stevens, investigador de la empresa, uno de los foristas le dijo que los intrusos incluso habían intentado venderle la base de datos de vuelta a Sony, pero que no habían recibido respuesta de la compañía.

Aunque está confirmado que se habla de la base de datos en los foros, no hay acceso a la base de datos misma (por lo que no está claro si existe realmente o si sólo es gente especulando o inventando).

Patrick Seybold, vocero de Sony en este asunto, ha dicho que “a mi entender, no es cierto que se le ofreció a Sony la oportunidad de comprar la lista”. Seybold había dicho ya anteriormente que “la lista completa con tarjetas de crédito estaba cifrada y no tenemos evidencia de que haya sido sustraída”.

Sin embargo, Sony ha sido tan “cauto” – por decirlo de alguna manera – con sus informaciones, que no sabemos si creerles ya o no. Contrario a las afirmaciones de la empresa, en los foros se dice que los hackers accedieron a la base de datos principal de Sony, lo que debiera haberles dado acceso a todo – incluyendo las tarjetas. También hay información detallada respecto de los servidores que usa la compañía japonesa, lo que revela que hay bastante conocimiento sobre los sistemas que fueron atacados.

Aparentemente, los hackers habrían usado el jailbreak de la PS3 primero, y habrían accedido con esta consola crackeada a los servidores de la empresa.

Todavía no se sabe quién está detrás de los ataques, aunque el FBI está colaborando con la investigación en Estados Unidos.

Link: Hackers claim to have PlayStation users’ card data (NYTimes)

Al parecer la reciente “caída” de la red PlayStation Network (PSN) no será la única consecuencia que deberán enfrentar los usuarios del servicio, ya que Sony aún no logra determinar si producto del mismo ataque externo sufrido los datos de los usuarios quedaron expuestos a los atacantes.

Recordemos que a mediados de la semana pasada los usuarios de consolas PlayStation comenzaron a reclamar debido a que no podían ingresar al servicio PSN. La compañía inicialmente se limitó a reportar que efectivamente el servicio presentaba problemas para, posteriormente, reconocer que la caída había sido producida por un ataque externo del que aún no se logran recuperar.

Lamentablemente para los usuarios las noticias no son muy buenas, ya que la investigación que lleva adelante la compañía aún no logra determinar con claridad si la información personal o los datos de las tarjetas de crédito que figuraban registrados en el servicio fueron vulnerados, lo que naturalmente cambia el escenario al que se encuentran enfrentados los usuarios.

Según informaciones aparecidas esta mañana, parte de los ataques se habrían enfocado precisamente en los servidores donde se almacena la información de los usuarios.

Si bien desde la compañía aseguran que mantendrán informados a los usuarios si es que su información cayó en manos de los inescrupulosos atacantes, de confirmarse este último hecho quedará en entredicho la seguridad con la que se mantenía dicha información.

Link: Sony Yet to Determine Scope of PlayStation Network Attack (PCWorld)

(cc) manu contreras

De nuevo Campeones de Europa. Aunque en esta ocasión el título, ganado en reñida lid frente a Bulgaria y pasando muy por encima al resto de países del Viejo Continente, es el de víctimas de robos de identidad en Internet. El galardón nos lo ha concedido Eurostat, la oficina europea de estadística en un informe recientemente publicado.

A lo largo del último año,  un 7% de los usuarios de la Red españoles y búlgaros han sido víctimas de problemas relacionados con sus datos personales y demás información privada, lo que supone tres puntos por encima de la media europea. Una media que también superan los usuarios nacionales en lo que respecta a ataques de virus.

El informe de Eurostat también recoge que alrededor del 4% de los usuarios internacionales (coincidiendo en media también con la de España) han sido víctimas de phising, perdiendo dinero por el uso fraudulento de sus tarjetas de crédito o cuentas bancarias. Un ranking que sin embargo encabezan otros países como Letonia o el Reino Unido, con un 8 y 7% respectivamente.

Link: España es el país con más víctimas de robo de identidad en Internet (El Periódico)

Los objetivos fueron las redes de Heartland Payment Systems (un procesador de pagos en Princeton), 7-Eleven, Hannaford Brothers, una cadena regional de supermercados y otros dos minoristas.
El robo de tarjetas de crédito y débito números fueron vendidos en línea, y algunos se utilizaron para hacer compras no autorizadas y retirar dinero de bancos.

The New York Times dijo que utilizó una lista de compañías Fortune 500. Los ataques en línea se aprovecharon de las fallas de seguridad en SQL y González utilizaba programas “sniffer” sobre redes corporativas que interceptan transacciones con tarjeta de crédito para después transmitir la información a servidores que rentaba en Estados Unidos, los Países Bajos y Ucrania.

Lo irónico es que en algún momento este hacker ayudo al servicio secreto a identificar a antiguos conspiradores, después de ser detenido en 2003 por un delito en Nueva Jersey, sin embargo una vez libre regresó al juego con sus viejos socios.

González ha estado en prisión desde mayo de 2008, cuando fue detenido como parte de un robo de datos de la cadena de restaurantes Dave & Buster y aún se están investigando otro cargos que podrían ser la punta del iceberg de más delitos informáticos, por el momento enfrenta hasta 20 años de prisión.

Esto representa un nuevo record después del sonado robo de datos entre 2003 y 2004 con más de 45.7 millones de números de tarjetas de crédito y débito a la cadena estadounidense TJX.

Link: Police hacker informer stole 130 million credit card details (TGDaily)