Le Brésil et la France perdent des données personnelles #veille (10 au 16 déc. 2018)

Déroulez ici

Beaucoup d’actualités différentes égaient les nouvelles de cybersécurité collectées cette semaine. Du côté des pertes de données, on notera principalement celle concernant 120 millions de brésiliens qui étaient restées mal protégées sur un serveur AWS sur le cloud d’Amazon. La France est le deuxième pays qui concentre l’attention de la semaine avec plusieurs vols et pertes de données: Des centaines de milliers de données de voyageurs s’étant inscrits sur le site Ariane, accompagnée des informations de contacts en cas d’urgence, ont été volées. C’est également le cas pour les données de 500 policiers incluant leurs noms, leurs emails, leurs numéros de téléphone personnel et même parfois leur affectation dans les rangs du ministère de l’Intérieur.

En Suisse, MELANI informe qu’une nouvelle vague du malware Emotet se diffuse et cible principalement les PME suisses. Pendant ce temps, les vulnérabilités s’accumulent comme par exemple pour Google+ qui devrait finalement mourir en août prochain après la découverte d’une nouvelle faille en octobre dernier. Pas mieux pour Microsoft qui, grâce à un chasseur de bug, a corrigé un bug pouvant affecté 400 millions de ses comptes.

Et voici toutes actualités intéressantes sélectionnées cette semaine :

Vol / perte de données

Personal & banking data of 120 million Brazilians leaked online

The IT security researchers at InfoArmor’s Advanced Threat Intelligence team discovered a treasure trove of personal sensitive data belonging to over 120 million Brazilians exposed on an unprotected AWS (Amazon Web Service) S3 cloud storage bucket. The data according to InfoArmor’s report [PDF] included 120 million unique Cadastro de Pessoas Físicas (CPFs).

Le Quai d’Orsay s’est fait voler des centaines de milliers de données voyageurs

Des pirates ont siphonné les bases du service Ariane, qui permet aux citoyens français qui se rendent à l’étranger, de s’inscrire en ligne et d’indiquer des personnes à contacter en cas d’urgence.

498 policiers du syndicat Alliance se sont faits pirater leurs données

Une fuite inquiétante s’est produite hier soir au sein du syndicat de police Alliance. Celle-ci a été orchestrée, d’après le syndicat visé, par les Anonymous. Ce sont les informations de 498 policiers qui ont été hackées, parmi celles-ci : les noms de policiers, leurs emails, leurs numéros de téléphone personnel et même parfois leur affectation dans les rangs du ministère de l’Intérieur.

Windows 10 : Microsoft reçoit vos données d’activité même si vous ne le voulez pas

Des utilisateurs ont remarqué qu’ils partageaient avec Microsoft l’historique de leurs activités même si cette option était désactivée. Un nouveau mystère dans la gestion de données personnelles de l’éditeur.

40,000 Government User Credentials Found on Dark Web | SecurityWeek.Com

Researchers from Group-IB have discovered more than 40,000 user accounts on the Dark Web that appear to be compromised credentials for online government websites in 30 countries. The credentials were stolen using special spyware, Group-IB says, including formgrabbers and keyloggers such as Pony Formgrabber, AZORult and Qbot (Qakbot).

Facebook bug exposed private photos of 6.8M users to third-party developers

Another day, another privacy breach – This time, the social media giant Facebook has announced that a bug in its Photo API exposed private photos of over 6.8 million users to third-party app developers.

Cyber-attaques / fraudes

Le cheval de Troie Emotet cible les réseaux d’entreprises

Ces dernières semaines, la Centrale d’enregistrement et d’analyse pour la sûreté de l’information MELANI a observé différentes vagues d’e-mails malveillants avec des documents Word en pièce jointe. Ces vagues contiennent le maliciel Emotet, connu depuis longtemps et se faisant aussi appeler Heodo. Ce maliciel était originellement un cheval de Troie ciblant le “e-banking”.

Hackers Defaced Linux.org As Protest Against Linux Code of Conduct

Just recently, Linux.org owners had to bear with a seriously embarrassing situation when they noticed someone meddling with their website. Allegedly, some hackers defaced Linux.org and a couple more related domains as a protest against the new Linux Kernel code of conduct. Hackers Defaced Linux.org Following DNS Hijack This Friday, some hackers defaced Linux.org website…

Des hackers chinois seraient derrière le vol des données de 500 millions de comptes des hôtels Marriott

C’est à la fois une bonne et une mauvaise nouvelle. Selon The New York Times ( NYT), les données des 500 millions de comptes, qui ont été siphonnés dans les bases de données de la filiale Starwood du groupe Marriott, n’auraient pas été récupérées par des cybercriminels. Ouf.

415.000 routeurs extraient secrètement de la crypto-monnaie

Technologie : Un correctif existe via une mise à jour du firmware. Mais ce sont souvent aux FAI de faire le travail. En attendant, c’est le plus souvent du Monero qui est miné à gogo.

Failles / vulnérabilités

A critical bug in Microsoft left 400M accounts exposed

A bug bounty hunter from India, Sahad Nk who works forSafetyDetective, a cybersecurity firm, has received a reward from Microsoft for uncovering and reporting a series of critical vulnerabilities in Microsoft accounts. These vulnerabilities were present on users’ Microsoft accounts from MS Office files to Outlook emails.

Google précipite la mort de Google+ après la découverte d’une nouvelle faille encore plus grosse

Le réseau social de Google devait mourir en août prochain après la découverte d’une faille en octobre dernier. Il mourra finalement en avril à cause d’une faille qui toucherait 52,5 millions de comptes.

La 5G n’est pas encore là, mais a déjà une grosse faille de sécurité

Une nouvelle attaque menée depuis une fausse station de base permet de détecter la présence d’une personne dans une zone donnée et de révéler son activité. Et cela fonctionne sur les réseaux 3G, 4G et 5G.

Reconnaissance faciale : une tête imprimée en 3D peut duper les smartphones Android

Une fausse tête suffit pour contourner l’authentification par reconnaissance faciale sur la plupart des smartphones haut de gamme. Seul l’iPhone X résiste à ce type d’attaque simpliste.

Android : ce cheval de Troie peut vous voler 1000 euros chaque fois que vous utilisez PayPal

Découvert par des experts en sécurité le mois dernier, un Cheval de Troie bancaire sur Android défraie la chronique. Pour cause, il réussit le beau tour de force d’arriver à voler de l’argent sur un compte PayPal, même si celui-ci est sécurisé grâce à deux facteurs d’authentification.

Réglementaire / juridique

Microsoft urges for Legal Framework to govern Facial recognition

Microsoft has reportedly sought for a reasonable legal framework for the deployment and use of facial recognition technology. While this technology has helped several Government authorities in mass surveillance, its abuse can also cause this technology to be in conflict with an individual’s right to privacy, enshrined under most constitutional frameworks.

British Teenager gets 3 year sentence for DDoS and False Bomb Threats

Recently, the Luton Crown Court sentenced a British teenager for sending out false bomb threats and carrying out DDoS attacks. The accused also made prank calls to the airlines authorities, claiming that his daughter, who was on the plane was attacked by hijackers. The teenager, identified as George Duke-Cohen, is better known as “DoubleParrallax” and…

Divers

Taylor Swift utilise la reconnaissance faciale pour identifier ses stalkers lors des concerts

C’est le média RollingStone qui révèle cette information. Lors de son concert au Rose Bowl de Californie en mai 2018, Taylor Swift pouvait compter sur la reconnaissance faciale pour éloigner ses stalkers. Un dispositif savamment camouflé identifiait le visage des spectateurs pour les comparer avec ses obsessionnels les plus connus.

Pour optimiser le RGPD, les données européennes de Google seront traitées en Irlande

Le géant américain a annoncé mercredi 10/12 dans un billet de blog que Dublin allait devenir le fournisseur officiel de ses services en Europe. Ces changements, qui devraient prendre effet le 22 janvier 2019, sont destinés à mieux gérer le RGPD, et ne devrait pas altérer la qualité du service.

” 123456 “, encore et toujours le pire mot de passe du monde

Parmi les 25 mots de passe les plus utilisés au monde, il n’y a que peu de surprises. Le prénom ” donald ” fait une entrée remarquée dans ce classement annuel.

https://www.startupticker.ch/en/news/december-2018/cybersecurity-startup-xorlab-raises-1-9-million-swiss-francs

1 Comment

Laisser un commentaire

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.