Ataque cibernético al aeropuerto de San Francisco confirmado: contraseñas de Windows robadas.

El Aeropuerto Internacional de San Francisco (SFO) es, en tiempos normales, el séptimo aeropuerto más ocupado de los Estados Unidos. También ha confirmado que los piratas informáticos lograron comprometer dos de sus sitios web durante un ciberataque y probablemente robaron las credenciales de inicio de sesión de Windows de los usuarios. En un aviso de declaración de violación de datos, SFO advirtió a los usuarios potencialmente afectados que cambien sus contraseñas de Windows en consecuencia.

Según ese aviso de violación de datos , que fue informado por primera vez por Bleeping Computer , los dos sitios web, SFOConnect.com y SFOConstruction.com, fueron atacados en marzo. Los hackers lograron inyectar código malicioso en los sitios web para «robar las credenciales de inicio de sesión de algunos usuarios».

Curiosamente, parece que los piratas informáticos no buscaban las credenciales utilizadas para iniciar sesión en los sitios web, sino que distribuían información a la fuerza laboral de la OFS y datos sobre proyectos de construcción, respectivamente, sino sus credenciales de dispositivo de Windows.

Los usuarios afectados por el ciberataque, según el aviso de incumplimiento de la OFS, eran aquellos que «accedían a estos sitios web desde fuera de la red del aeropuerto a través de Internet Explorer en un dispositivo personal basado en Windows o en un dispositivo no mantenido por la OFS». Los datos afectados, dijo SFO, se parecen a los nombres de usuario y contraseñas para iniciar sesión en esos dispositivos personales de Windows.

Los sitios web se desconectaron y se eliminó el código malicioso, confirmó el aviso de la OFS.

Sin embargo, mientras SFO Connect estaba de nuevo en línea en el momento de la escritura, SFOConstruction redirige a una descarga en PDF del aviso de violación de datos y, de lo contrario, queda fuera de acción. SFO dijo que realizó un restablecimiento forzado de contraseña de correo electrónico relacionado con SFO y contraseñas de red el 23 de marzo.

Sin embargo, cualquiera que haya visitado cualquiera de los sitios fuera del sistema de red administrado y haya utilizado Internet Explorer en un dispositivo Windows para hacerlo debe cambiar su contraseña de inicio de sesión de Windows de inmediato.

Colin Bastable, CEO de la empresa de capacitación y concientización cibernética Lucy Security, echó un vistazo a la web oscura y dijo que «el mayor riesgo para flysfo.com es que sus empleados usen direcciones de correo electrónico oficiales para negocios personales en sitios como Zynga y Myfitnesspal». » Bastable también encontró en la región de 8,000 credenciales comprometidas, publicadas a fines de febrero, que incluían direcciones de correo electrónico de flysfo.com y especuló que «tal vez una de ellas abrió la puerta, permitiendo que el código malicioso caiga en los sitios web de la OFS».

Fuente y redacción: forbes.com

Los archivos PDF se pueden abusar para robar credenciales de Windows

Los piratas informáticos de Magento usan el truco simple de evasión para re infectar los sitios con Malware

COVID-bit: nuevo canal COVert para filtrar datos de computadoras con espacio de aire