Le pirate de LinkedIn dénoncé publiquement et 6’500 sites du dark web détruits d’un clic #veille (19 au 25 nov 2018)

Déroulez ici

La véritable identité de Tessa88, le pirate informatique lié à plusieurs cyber-attaques très médiatisées, dont celles de LinkedIn, DropBox et MySpace, a été révélée sur le web. Après une enquête approfondie, les chercheurs “détectives” ont conclu que Maksim Vladimirovich Donakov était l’homme à l’origine de la vente des bases de données volumineuses, comprenant 32 millions de comptes Twitter, 360 millions de références MySpace et 500 millions de comptes Yahoo.

L’administrateur de l’hébergement d’un groupes de 6’500 sites sur le dark web, un développeur allemand de logiciels, a reconnu une attaque; Le compte“ root ” aurait été supprimé définitivement 6 500 sites web hébergés car aucune données de restauration n’était prévue. Le piratage a eu lieu le 15 novembre après que le ou les pirates informatiques eurent découvert une vulnérabilité critique et supprimé toutes les données du serveur.

Et voici toutes actualités intéressantes sélectionnées cette semaine :

Vol / perte de données

Real Identity of Hacker Who Sold LinkedIn, Dropbox Databases Revealed

Real Identity of Notorious Russian Hacker-Tessa88-Who Sold LinkedIn, Dropbox, Facebook, Twitter, VKontakte Databases On Dark Web Forums Revealed As Maksim Vladimirovich Donakov (Максим Владимирович Донаков).

US Postal Service Exposes Data of 60 Million Users for Over a Year

The US Postal Service ignored for more than a year an authentication oversight that exposed the account details of 60 million users to anyone that logged into the web service.

German flirting network gets fined 20,000€ for leaking user information – Avira Blog

News about leaked data can be found online every other day – it’s basically an epidemic by now. Even worse: there is almost nothing you can do. So you probably have to live with your data being out there and crafty cybercriminals having access to it to use it for whatever sinister purpose they want.

Instagram Accidentally Exposed Some Users’ Passwords In Plaintext

A new security vulnerability in Instagram accidentally exposed some users’ password in plaintext

Dutch audit finds Microsoft Office leaks confidential data

The diagnostics Microsoft Office collects from users should be a source of concern for any government CISO, according to a DPIA audit ComputerWeekly reported: “A report commissioned by the Dutch government has recommended disabling any settings in Microsoft Office 2016 that sends data to Microsoft servers.

Amazon : une erreur technique expose des adresses mail et noms de clients

Combien d’utilisateurs impactés ? Mystère. Toutefois, le message d’information d’Amazon n’était pas un spam. C’est une ” promotion ” qui fait mauvais genre pour Amazon en plein Black Friday Week et Black Friday. Peut-être la raison pour laquelle le cybermarchand n’est guère bavard sur ce qui est simplement qualifié d’erreur technique.

Cyber-attaques / fraudes

Une intelligence artificielle pour faire le ménage dans les arnaques en ligne

Comment détecter les annonces frauduleuses, quand on est responsable d’une plateforme qui génère 12’000 annonces chaque jour sur internet? C’est le défi que doit relever anibis.ch, site suisse de petites annonces en ligne, dont le flux a décuplé ces quinze dernières années.

6500 sites down after hackers wipe out database of dark web hosting firm

Daniel’s Hosting, one of the largest hosting service providers on Dark Web has come under a massive cyber attack forcing its website along with over 6,500 websites hosted on its server to go offline but the damage is way more than that.

Plus de 17’000 adresses mail de l’EPFL ciblées par une attaque de phishing

Une campagne d’hameçonnage (phishing) à grande échelle a été menée contre l’EPFL. Perpétrée à l’aide d’identifiants volés, l’attaque a ciblé plus de 17’000 utilisateurs.

Piratage : 1 million de dollars en échangeant une carte SIM

Technologie : Un jeune homme prenait pour cible des hommes d’affaires, et s’emparait de leurs économies via un stratagème particulièrement simple : il détournait leurs smartphones. Voici comment. Un jeune homme de 21 ans est accusé d’avoir échangé le numéro de téléphone mobile d’un cadre de la Silicon Valley pour lui voler environ un million de dollars en cryptomonnaie.

Quinze minutes suffisent à pirater la plupart des distributeurs de billets

Les cyberbraqueurs de banques n’ont pas de soucis à se faire quant à leur employabilité. Une récente analyse de sécurité réalisée par Positive Technologies sur 26 distributeurs de billets (DAB) montre que ces appareils sont tellement peu sécurisés qu’il suffit généralement d’un quart d’heure pour en prendre le contrôle et les dévaliser, sous certaines conditions.

Losses from online payment fraud to reach $48 billion annually – Help Net Security

A new study from Juniper Research has found that annual online payment fraud losses from eCommerce, airline ticketing, money transfer and banking services, will reach $48 billion by 2023; up from the $22 billion in losses projected for 2018.

Failles / vulnérabilités

German eID Authentication Flaw Lets You Change Identity

The authentication process via German ID cards with RFID chips to certain web services can be manipulated to allow identity spoofing and changing the date of birth. German identity cards issued since 2010 come with a radio frequency identification chip that stores information about the holder.

Quand la reconnaissance faciale chinoise confond une pub avec un contrevenant

Un système de vidéosurveillance a épinglé publiquement une célébrité locale pour une prétendue incivilité. Une faux positif qui a bien fait rire la Toile chinoise.

Android : des centaines de milliers d’utilisateurs piégés par de fausses applis

En dépit d’une multiplication des contrôles, Google n’arrive pas à juguler la diffusion de fausses applications sur son Play Store. Dernier exemple en date : une trentaine de ces programmes malveillants a été trouvée en l’espace de quelques jours par Lukas Stefanko, un chercheur en sécurité de l’éditeur Eset.

Facebook Increases Rewards for Account Hacking Vulnerabilities | SecurityWeek.Com

Facebook on Tuesday announced important updates to its bug bounty program. The social media giant says it’s prepared to pay out as much as $40,000 for vulnerabilities that can lead to account takeover.

Réglementaire / juridique

Divers

Windows 10 : Microsoft permet l’authentification sans entrer de mot de passe | Silicon

Microsoft simplifie et sécurise désormais la connexion à un compte Microsoft avec le support des clés de sécurité basés sur le standard FIDO2. Les utlisateurs peuvent ainsi se connecter à leur compte sans renserigner l’identifiant et le mot de passe associé.

La SwissID se fait une place dans l’industrie financière

C’est une première: la solution d’identité numérique SwissID permet désormais d’accéder à un service en ligne bancaire, en l’occurrence au portail hypothécaire de la Banque Cantonale de Saint-Gall.

1 Comment

Laisser un commentaire

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.