Beaucoup d’actualités différentes égaient les nouvelles de cybersécurité collectées cette semaine. Du côté des pertes de données, on notera principalement celle concernant 120 millions de brésiliens qui étaient restées mal protégées sur un serveur AWS sur le cloud d’Amazon. La France est le deuxième pays qui concentre l’attention de la semaine avec plusieurs vols et pertes de données: Des centaines de milliers de données de voyageurs s’étant inscrits sur le site Ariane, accompagnée des informations de contacts en cas d’urgence, ont été volées. C’est également le cas pour les données de 500 policiers incluant leurs noms, leurs emails, leurs numéros de téléphone personnel et même parfois leur affectation dans les rangs du ministère de l’Intérieur.
En Suisse, MELANI informe qu’une nouvelle vague du malware Emotet se diffuse et cible principalement les PME suisses. Pendant ce temps, les vulnérabilités s’accumulent comme par exemple pour Google+ qui devrait finalement mourir en août prochain après la découverte d’une nouvelle faille en octobre dernier. Pas mieux pour Microsoft qui, grâce à un chasseur de bug, a corrigé un bug pouvant affecté 400 millions de ses comptes.
Et voici toutes actualités intéressantes sélectionnées cette semaine :
The IT security researchers at InfoArmor’s Advanced Threat Intelligence team discovered a treasure trove of personal sensitive data belonging to over 120 million Brazilians exposed on an unprotected AWS (Amazon Web Service) S3 cloud storage bucket. The data according to InfoArmor’s report [PDF] included 120 million unique Cadastro de Pessoas Físicas (CPFs).
Des pirates ont siphonné les bases du service Ariane, qui permet aux citoyens français qui se rendent à l’étranger, de s’inscrire en ligne et d’indiquer des personnes à contacter en cas d’urgence.
Une fuite inquiétante s’est produite hier soir au sein du syndicat de police Alliance. Celle-ci a été orchestrée, d’après le syndicat visé, par les Anonymous. Ce sont les informations de 498 policiers qui ont été hackées, parmi celles-ci : les noms de policiers, leurs emails, leurs numéros de téléphone personnel et même parfois leur affectation dans les rangs du ministère de l’Intérieur.
Des utilisateurs ont remarqué qu’ils partageaient avec Microsoft l’historique de leurs activités même si cette option était désactivée. Un nouveau mystère dans la gestion de données personnelles de l’éditeur.
Researchers from Group-IB have discovered more than 40,000 user accounts on the Dark Web that appear to be compromised credentials for online government websites in 30 countries. The credentials were stolen using special spyware, Group-IB says, including formgrabbers and keyloggers such as Pony Formgrabber, AZORult and Qbot (Qakbot).
Another day, another privacy breach – This time, the social media giant Facebook has announced that a bug in its Photo API exposed private photos of over 6.8 million users to third-party app developers.
C’est à la fois une bonne et une mauvaise nouvelle. Selon The New York Times ( NYT), les données des 500 millions de comptes, qui ont été siphonnés dans les bases de données de la filiale Starwood du groupe Marriott, n’auraient pas été récupérées par des cybercriminels. Ouf.
Technologie : Un correctif existe via une mise à jour du firmware. Mais ce sont souvent aux FAI de faire le travail. En attendant, c’est le plus souvent du Monero qui est miné à gogo.
A bug bounty hunter from India, Sahad Nk who works forSafetyDetective, a cybersecurity firm, has received a reward from Microsoft for uncovering and reporting a series of critical vulnerabilities in Microsoft accounts. These vulnerabilities were present on users’ Microsoft accounts from MS Office files to Outlook emails.
Le réseau social de Google devait mourir en août prochain après la découverte d’une faille en octobre dernier. Il mourra finalement en avril à cause d’une faille qui toucherait 52,5 millions de comptes.
Une nouvelle attaque menée depuis une fausse station de base permet de détecter la présence d’une personne dans une zone donnée et de révéler son activité. Et cela fonctionne sur les réseaux 3G, 4G et 5G.
Une fausse tête suffit pour contourner l’authentification par reconnaissance faciale sur la plupart des smartphones haut de gamme. Seul l’iPhone X résiste à ce type d’attaque simpliste.
Découvert par des experts en sécurité le mois dernier, un Cheval de Troie bancaire sur Android défraie la chronique. Pour cause, il réussit le beau tour de force d’arriver à voler de l’argent sur un compte PayPal, même si celui-ci est sécurisé grâce à deux facteurs d’authentification.
Microsoft has reportedly sought for a reasonable legal framework for the deployment and use of facial recognition technology. While this technology has helped several Government authorities in mass surveillance, its abuse can also cause this technology to be in conflict with an individual’s right to privacy, enshrined under most constitutional frameworks.
Recently, the Luton Crown Court sentenced a British teenager for sending out false bomb threats and carrying out DDoS attacks. The accused also made prank calls to the airlines authorities, claiming that his daughter, who was on the plane was attacked by hijackers. The teenager, identified as George Duke-Cohen, is better known as « DoubleParrallax » and « 7R1D3N7 ».
C’est le média RollingStone qui révèle cette information. Lors de son concert au Rose Bowl de Californie en mai 2018, Taylor Swift pouvait compter sur la reconnaissance faciale pour éloigner ses stalkers. Un dispositif savamment camouflé identifiait le visage des spectateurs pour les comparer avec ses obsessionnels les plus connus.
Le géant américain a annoncé mercredi 10/12 dans un billet de blog que Dublin allait devenir le fournisseur officiel de ses services en Europe. Ces changements, qui devraient prendre effet le 22 janvier 2019, sont destinés à mieux gérer le RGPD, et ne devrait pas altérer la qualité du service.
Parmi les 25 mots de passe les plus utilisés au monde, il n’y a que peu de surprises. Le prénom » donald » fait une entrée remarquée dans ce classement annuel.
The ETH spin-off xorlab develops and sells machine intelligent email security solutions. Today, it announced a financing round of 1.9 million Swiss francs. Investors include Zürcher Kantonalbank and Hasler Stiftung. The security platform ActiveGuard, developed by xorlab, helps companies regain trust in their email conversations by intelligently detecting and filtering known and unknown email attacks such as phishing attempts and malware attacks.
Pingback: Veille Cyber N210 – 24 décembre 2018 |