La véritable identité de Tessa88, le pirate informatique lié à plusieurs cyber-attaques très médiatisées, dont celles de LinkedIn, DropBox et MySpace, a été révélée sur le web. Après une enquête approfondie, les chercheurs « détectives » ont conclu que Maksim Vladimirovich Donakov était l’homme à l’origine de la vente des bases de données volumineuses, comprenant 32 millions de comptes Twitter, 360 millions de références MySpace et 500 millions de comptes Yahoo.
L’administrateur de l’hébergement d’un groupes de 6’500 sites sur le dark web, un développeur allemand de logiciels, a reconnu une attaque; Le compte“ root ” aurait été supprimé définitivement 6 500 sites web hébergés car aucune données de restauration n’était prévue. Le piratage a eu lieu le 15 novembre après que le ou les pirates informatiques eurent découvert une vulnérabilité critique et supprimé toutes les données du serveur.
Et voici toutes actualités intéressantes sélectionnées cette semaine :
Vol / perte de données
Real Identity of Hacker Who Sold LinkedIn, Dropbox Databases Revealed
Real Identity of Notorious Russian Hacker-Tessa88-Who Sold LinkedIn, Dropbox, Facebook, Twitter, VKontakte Databases On Dark Web Forums Revealed As Maksim Vladimirovich Donakov (Максим Владимирович Донаков).
US Postal Service Exposes Data of 60 Million Users for Over a Year
The US Postal Service ignored for more than a year an authentication oversight that exposed the account details of 60 million users to anyone that logged into the web service.
German flirting network gets fined 20,000€ for leaking user information – Avira Blog
News about leaked data can be found online every other day – it’s basically an epidemic by now. Even worse: there is almost nothing you can do. So you probably have to live with your data being out there and crafty cybercriminals having access to it to use it for whatever sinister purpose they want.
Instagram Accidentally Exposed Some Users’ Passwords In Plaintext
A new security vulnerability in Instagram accidentally exposed some users’ password in plaintext
Dutch audit finds Microsoft Office leaks confidential data
Dutch audit finds Microsoft Office leaks confidential data
Amazon : une erreur technique expose des adresses mail et noms de clients
C’est une » promotion » qui fait mauvais genre pour Amazon en plein Black Friday Week et Black Friday. Peut-être la raison pour laquelle le cybermarchand n’est guère bavard sur ce qui est simplement qualifié d’erreur technique.
Cyber-attaques / fraudes
Une intelligence artificielle pour faire le ménage dans les arnaques en ligne
Pour parer aux tentatives de fraude par petites annonces, des sites comme Anibis font appel à une intelligence artificielle, qui « apprend » à signaler les schémas malhonnêtes parmi des milliers d’offres en ligne. Comment détecter les annonces frauduleuses, quand on est responsable d’une plateforme qui génère 12’000 annonces chaque jour sur internet?
6500 sites down after hackers wipe out database of dark web hosting firm
Daniel’s Hosting, one of the largest hosting service providers on Dark Web has come under a massive cyber attack forcing its website along with over 6,500 websites hosted on its server to go offline but the damage is way more than that.
https://www.ictjournal.ch/news/2018-11-22/plus-de-17000-adresses-mail-de-lepfl-ciblees-par-une-attaque-de-phishing
Piratage : 1 million de dollars en échangeant une carte SIM
Technologie : Un jeune homme prenait pour cible des hommes d’affaires, et s’emparait de leurs économies via un stratagème particulièrement simple : il détournait leurs smartphones. Voici comment. Un jeune homme de 21 ans est accusé d’avoir échangé le numéro de téléphone mobile d’un cadre de la Silicon Valley pour lui voler environ un million de dollars en cryptomonnaie.
Quinze minutes suffisent à pirater la plupart des distributeurs de billets
Les cyberbraqueurs de banques n’ont pas de soucis à se faire quant à leur employabilité. Une récente analyse de sécurité réalisée par Positive Technologies sur 26 distributeurs de billets (DAB) montre que ces appareils sont tellement peu sécurisés qu’il suffit généralement d’un quart d’heure pour en prendre le contrôle et les dévaliser, sous certaines conditions.
Losses from online payment fraud to reach $48 billion annually – Help Net Security
A new study from Juniper Research has found that annual online payment fraud losses from eCommerce, airline ticketing, money transfer and banking services, will reach $48 billion by 2023; up from the $22 billion in losses projected for 2018.
Failles / vulnérabilités
German eID Authentication Flaw Lets You Change Identity
The authentication process via German ID cards with RFID chips to certain web services can be manipulated to allow identity spoofing and changing the date of birth. German identity cards issued since 2010 come with a radio frequency identification chip that stores information about the holder.
Quand la reconnaissance faciale chinoise confond une pub avec un contrevenant
Un système de vidéosurveillance a épinglé publiquement une célébrité locale pour une prétendue incivilité. Une faux positif qui a bien fait rire la Toile chinoise.
Android : des centaines de milliers d’utilisateurs piégés par de fausses applis
En dépit d’une multiplication des contrôles, Google n’arrive pas à juguler la diffusion de fausses applications sur son Play Store. Dernier exemple en date : une trentaine de ces programmes malveillants a été trouvée en l’espace de quelques jours par Lukas Stefanko, un chercheur en sécurité de l’éditeur Eset.
Facebook Increases Rewards for Account Hacking Vulnerabilities | SecurityWeek.Com
Facebook on Tuesday announced important updates to its bug bounty program. The social media giant says it’s prepared to pay out as much as $40,000 for vulnerabilities that can lead to account takeover.
Réglementaire / juridique
–
Divers
Windows 10 : Microsoft permet l’authentification sans entrer de mot de passe | Silicon
Microsoft simplifie et sécurise désormais la connexion à un compte Microsoft avec le support des clés de sécurité basés sur le standard FIDO2. Les utlisateurs peuvent ainsi se connecter à leur compte sans renserigner l’identifiant et le mot de passe associé.
La SwissID se fait une place dans l’industrie financière
La SwissID franchit une nouvelle étape dans ses efforts pour devenir l’identité numérique universelle en Suisse. La solution permet désormais d’accéder à l’espace hypothécaire en ligne de la Banque Cantonale de Saint-Gall. Cette dernière se positionne ainsi comme une pionnière en la matière, puisqu’elle est la première société financière à miser sur la SwissID.
1 Comment
Comments are closed.
Pingback: Veille Cyber N207 – 03 décembre 2018 |