ImmuniWeb

Sede de ImmuniWeb en Ginebra

ImmuniWeb es una empresa global de seguridad de aplicaciones con sede en Ginebra, Suiza. ImmuniWeb desarrolla tecnologías de inteligencia artificial y aprendizaje automático para soluciones de seguridad de aplicaciones basadas en SaaS proporcionadas a través de su plataforma ImmuniWeb AI patentada.

Investigación de Seguridad Temprana

Advertencias de Seguridad

El equipo de investigación de seguridad de ImmuniWeb (anteriormente conocido como High-Tech Bridge) ha publicado más de 500 avisos de seguridad[1]​ que afectan a varios software, con problemas identificados en productos de muchos proveedores conocidos, como Sony,[2]​ McAfee[3]​ Novell,[4]​ además de muchas vulnerabilidades web que afectan a aplicaciones web comerciales y de código abierto populares, como osCommerce, Zen Cart,Microsoft SharePoint, SugarCRM y otras.

El Security Research Lab fue registrado como compatible con CVE y CWE por MITRE.[5]​ Es una de las 24 organizaciones a nivel mundial y la primera en Suiza que ha podido obtener la certificación CWE.

La empresa figura entre las 81 organizaciones, a partir de agosto de 2013, que incluyen identificadores CVE en sus avisos de seguridad.[6]

Servicios en línea Gratuitos e Investigaciones Relacionadas

ImmuniWeb lanzó una herramienta de prueba de configuración SSL/TLS en octubre de 2015.[7]​ La herramienta puede validar el correo electrónico, la web o cualquier otra configuración de servidor TLS o SSL según las pautas de NIST y verifica el cumplimiento de PCI DSS, se citó en artículos que cubren la violación de datos de TalkTalk.[8][9]

Investigación de Seguridad y Privacidad

El descubrimiento de vulnerabilidades en Yahoo! sitios de la compañía fue ampliamente informado,[10]​ lo que llevó al asunto de la puerta de la camiseta y cambios en el programa de recompensas por errores de Yahoo. La firma identificó y reportó cuatro vulnerabilidades XSS en Yahoo! dominios, por lo que la empresa recibió dos vales de regalo por valor de $25. La escasa recompensa ofrecida a los investigadores de seguridad por identificar vulnerabilidades en Yahoo! fue criticado, lo que provocó lo que se denominó t-shirt-gate, una campaña contra Yahoo! enviando camisetas como agradecimiento por descubrir vulnerabilidades. El descubrimiento de estas vulnerabilidades por parte de la empresa y las posteriores críticas al programa de recompensas de Yahoo! llevaron a Yahoo! implementando una nueva política de informes de vulnerabilidad que ofrece entre $ 150 y $ 15,000 por problemas informados, según criterios preestablecidos.[11]

En diciembre de 2013, la investigación de la firma[21] sobre privacidad en redes sociales populares y servicios de correo electrónico fue citada[22][23] en una demanda colectiva por presunta violación de la privacidad de sus miembros al escanear mensajes privados enviados en la red social.

En octubre de 2014, la empresa descubrió una vulnerabilidad de ejecución remota de código en PHP.[12]​ En diciembre de 2014, identificaron el ataque RansomWeb, un desarrollo de los ataques Ransomware, donde los piratas informáticos comenzaron a apoderarse de los servidores web, cifraron los datos en ellos y exigieron el pago para desbloquear los archivos.

En abril de 2014, el descubrimiento de sofisticados ataques Drive-by download reveló cómo los ataques drive-by download se utilizan para atacar a visitantes específicos del sitio web después de su autenticación en un recurso web comprometido.

En diciembre de 2015, la empresa probó los proveedores de servicios de correo electrónico gratuitos más populares para el cifrado de correo electrónico SSL/TLS.[13]Hushmail, anteriormente considerado como uno de los proveedores de correo electrónico más seguros, recibió una calificación "F" reprobatoria. Justo después, la empresa actualizó su configuración SSL y recibió una puntuación de "B+".[14]

Referencias

  1. Sztembis, Rafal; Moss, Donald (1 de abril de 2014). «From Percutaneous Coronary Intervention (PCI) to Heart Rate Variability (HRV) Biofeedback: The Bridge Between High-Tech Medicine and High-Tech Psychology—How Can We Proceed in Clinical Practice?». Biofeedback 42 (1): 24-27. ISSN 2158-348X. doi:10.5298/1081-5937-42.1.03. Consultado el 1 de julio de 2023. 
  2. «Support for Sony products | Sony USA». www.sony.com (en inglés). Consultado el 1 de julio de 2023. 
  3. www.mcafee.com https://www.mcafee.com/support/?page=content&id=SB10040 |url= sin título (ayuda). Consultado el 1 de julio de 2023. 
  4. «Security Vulnerability: GroupWise Client for Windows Remote Untrusted Pointer Dereference Vulnerability». support.microfocus.com. Consultado el 1 de julio de 2023. 
  5. «CWE - News & Events - 2012 Archive». cwe.mitre.org. Consultado el 4 de julio de 2023. 
  6. «CWE - News & Events - 2012 Archive». cwe.mitre.org. Consultado el 4 de julio de 2023. 
  7. Security, Help Net (30 de noviembre de 1). «Free PCI and NIST compliant SSL test». Help Net Security (en inglés estadounidense). Consultado el 4 de julio de 2023. 
  8. «TalkTalk boss receives ransom demand as massive customer data breach deepens- The Inquirer». web.archive.org. 24 de octubre de 2015. Archivado desde el original el 24 de octubre de 2015. Consultado el 4 de julio de 2023. 
  9. Martin, Alexander J. «TalkTalk CEO admits security fail, says hacker emailed ransom demand». www.theregister.com (en inglés). Consultado el 4 de julio de 2023. 
  10. «Computing - The UK's leading source for the analysis of business technology». www.computing.co.uk (en inglés). Consultado el 4 de julio de 2023. 
  11. «Yahoo security bounty program ditches T-shirts for cash». PCWorld (en inglés). Consultado el 4 de julio de 2023. 
  12. «PHP Patches Buffer Overflow Vulnerabilities». threatpost.com (en inglés). 22 de octubre de 2014. Consultado el 4 de julio de 2023. 
  13. «Testing Your SSL Encryption Can Provide Important Security Insights». Security Intelligence (en inglés estadounidense). 15 de diciembre de 2015. Consultado el 4 de julio de 2023. 
  14. Cloud storage security. CRC Press. 6 de julio de 2015. pp. 139-142. ISBN 978-0-429-22612-0. Consultado el 4 de julio de 2023.