Des piratages et des bug bounties #veille (17 fév 2019)

Déroulez ici

Beaucoup d’articles sélectionnés cette semaine (qui finalement couvre les 2 dernières semaines). Après collection#1, un nouveau piratage a été révélé avec 620 millions de données de sites web a priori très actuelles et donc nettement plus sensibles. La liste de sites concerné est longue 🙁 : Dubsmash (162 millions), MyFitnessPal (151 millions), MyHeritage (92 millions), ShareThis (41 millions), HauteLook (28 millions), Animoto (25 millions), EyeEm (22 millions), 8fit (20 millions), Whitepages (18 millions), Fotolog (16 millions), 500px (15 millions), Armor Games (11 millions), … sans oublier également un autre piratage qui a touché le site de photos 500px qui organise également de son côté la réinitialisation des ses comptes


Our engineering team recently learned of a potential security issue affecting your 500px user account. We are taking this issue extremely seriously and have taken immediate action to address the situation and ensure the protection of our users’ data. Although there is no indication of unauthorized access to your account, as a precautionary measure, we require you to reset your 500px account password.

l’équipe 500px, Canada

Mis à part les autres nombreux vols ou pertes de données capté dans cette veille, il y a une autre particularité: l’intérêt pour les bug bounties et ce n’est pas la levée de fond de 4 Mios de Yes We Hack qui va le contredire.

Comme vous pourrez le voir ci-dessous, il y a beaucoup d’actualités intéressantes et diverses recueillies cette semaine … à vous de voir 🙂 Belle semaine à vous!


Pour m’offrir un café en échange du travail de veille réalisé gratuitement

Vol / perte de données

Les données de 620 millions de comptes ont été piratées

Après Collection 1 et ses 772 millions d’adresses mails touchées, c’est une nouvelle affaire de piratage massif qui vient d’être dévoilée. Selon les informations disponibles, cela comprendrait des informations sensibles de comptes issus d’une dizaines de sites différents dont certains particulièrement utilisés en Europe.

Hacker who stole 620 million records strikes again, stealing 127 million more

A hacker who stole close to 620 million user records from 16 websites has stolen another 127 million records from eight more websites, TechCrunch has learned. The hacker, whose listing was the previously disclosed data for about $20,000 in bitcoin on a dark web marketplace, stole the data last year…

Millions Affected by 500px Data Breach

Online photography network 500px has forced a password reset for all users after revealing this week that it suffered a data breach last summer. The site claimed that the incident, which it believes occurred on around July 5 2018, was not discovered until last week, when its engineering team “became aware of a potential security issue affecting certain user profile data.”

Les données personnelles des cadors de la cyberdéfense française ont fuité sur la Toile

Plus de 2 200 noms et coordonnées personnelles des principaux directeurs en sécurité informatique de la Nation étaient en accès libre sur le site Web du Clusif, le club des experts en sécurité informatique français.

Devastating Cyberattack on Email Provider Destroys 18 Years of Data

All data belonging to US users-including backup copies-have been deleted in catastrophe, VMEmail says. An unknown attacker appears to have deleted 18 years’ worth of customer emails, along with all backup copies of the data, at email provider VFEmail. A note on the firm’s website Tuesday described the attack, first reported by KrebsOnSecurity, as causing “catastrophic destruction.”

Google Chrome extension warns if your password has been leaked

Anyone who has a presence on the internet is likely to be suffering from breach fatigue. Data leaks are reported in the headlines on a daily basis, and users can feel so overwhelmed by the sheer number of breaches that they feel there’s little they can do to keep ahead of hackers.

Donald Trump’s ‘Executive Time’ leak – journalists retype documents to protect White House source

Axios has got itself quite a scoop today – publishing US President Trump’s personal schedule from early November 2018 to February 1 2019. According to Axios the schedules indicate that Trump has spent “around 60% of his scheduled time over the past 3 months in unstructured ‘Executive Time.’

Cyber-attaques / fraudes

Two hacker groups responsible for 60 percent of all publicly reported hacks | ZDNet

Two hacker groups are behind 60% of all publicly reported cryptocurrency exchange hacks and are believed to have stolen around $1 billion worth of cryptocurrency, according to a report published last week by blockchain analysis firm Chainalysis. “On average, the hacks we traced from the two prominent hacking groups stole $90 million per hack,” said Chainalysis.

Runet : la Russie va se déconnecter d’internet et tester son propre réseau

La Russie va se déconnecter du web mondial le temps d’un test prévu pour le 1er avril 2019. Le pays de Vladimir Poutine souhaite en effet s’émanciper des infrastructures étrangères et créer son propre internet national ” Runet ” . Depuis plusieurs années, la Russie annonce son intention de se déconnecter d’internet.

Hackers tried to steal €13 million from Malta’s Bank of Valletta | ZDNet

Malta’s oldest bank resumed operations today after it shut down all IT systems yesterday when hackers tried to steal roughly €13 million ($14.7 million) from its reserves. Bank of Valletta (BOV) employees discovered the hackers’ intrusion during daily reconciliation operations of international transfers.

Russian ISPs plan internet disconnection test for entire country

At a time and date during 2019 yet to be confirmed, Russia’s major ISPs will in unison temporarily disconnect their servers from the internet, effectively cutting the country off from the outside world. From the point of view of Russian internet users, everything will appear normal – as long as they are connecting to websites hosted in Russia, which will still work.

Failles / vulnérabilités

Suisse : 200 000 dollars de récompense, pour pirater le système de vote électronique

La Poste Suisse mettra à disposition son futur système de vote électronique (” E-Voting” ) pour un test public d’intrusion qui aura lieu du 25 février au 24 mars 2019. De cette manière, les intéressés pourront ” s’amuser ” à lancer des attaques contre le système, le but étant évidemment ici de contribuer à accroître sa sécurité.

Le bug bounty de l’Union Européenne sur des logiciels open source

Le programme, doté d’une cagnotte de près d’un million de dollars, a pour objectif de tirer profit du ” pouvoir de la communauté open source ” afin d’éviter une nouvelle catastrophe de type Heartbleed.

UK Launches £6m IoT Security Competition

The UK government is claiming to have a £6m pot of cash set aside for the winners of a new IoT security competition. The Technology Strategy Board, also known as Innovate UK, will only choose projects including an element of artificial intelligence or machine learning and those that have “a clear plan for commercialization.”

Comment cette ampoule intelligente divulguait votre mot de passe Wi-Fi (entre autre)

Technologie : Les ampoules intelligentes LIFX contenaient des vulnérabilités qui pouvaient être exploitées avec un peu d’ingéniosité. Et d’une scie à métaux. Un chercheur a rendu public un ensemble de vulnérabilités qui pourraient être exploitées pour voler les mots de passe Wi-Fi appartenant aux propriétaires d’ampoules intelligentes LIFX.

Android : une simple image PNG permet de pirater n’importe quel smartphone – PhonAndroid.com

Google a découvert plus d’une quaantaine de failles de sécurtié dans Android dont l’une permet de pirater n’importe quel smartphone grâce à une image PNG.

Microsoft ne veut plus que vous utilisiez Internet Explorer

En 2015, Microsoft, hanté par la mauvaise réputation d’Internet Explorer, lançait le nouveau navigateur Edge. Plus moderne et plus compatible avec les standards du web actuel, celui-ci devenait le navigateur par défaut sur Windows 10. Néanmoins, pour diverses raisons, des personnes et des organisations utilisent encore Internet Explorer.

Yes We Hack lève 4 millions d’euros pour renforcer sa plateforme d’hackers éthiques à l’international – FrenchWeb.fr

Yes We Hack, la plateforme qui met en relation des organisations ou projets ayant des besoins en matière de sécurité informatique avec une communauté de personnes compétentes, annonce une levée de 4 millions d’euros réalisée auprès d’Open CNP, programme de corporate venture de CNP Assurances, et de Normandie Participations.

Vidéo : on a hacké une trottinette Xiaomi en quelques secondes !

Une application Android permet à n’importe qui de verrouiller à distance une trottinette Xiaomi M365 / Mi Electric Scooter. Nos tests montrent que ce piratage fonctionne sans problème et qu’il est loin d’être inoffensif pour les utilisateurs.

Il a trouvé une faille critique dans macOS… mais ne veut pas la livrer à Apple

Un chercheur en sécurité a révélé une faille zero-day dans le coffre-fort des mots de passe de macOS. Mais il ne veut pas transmettre les détails à Apple tant que celui-ci ne proposera pas de bug bounty. Une question de principe, selon lui.

Réglementaire / juridique

Les Suisses victimes de sextorsion: les autorités lancent le site “stop-sextortion.ch”

Dans un courriel, des escrocs prétendent avoir pris le contrôle de l’ordinateur et de la webcam du destinataire et menacent de publier des images et des vidéos à caractère sexuel de celui-ci s’il ne verse pas une rançon. Dans cette arnaque, appelée “sextorsion”, un paiement en bitcoins est généralement exigé.

Des journalistes français rattrapés par leur passé de cyberharceleurs

Deux journalistes de Libération et un des Inrocks, cités dans cette affaire, ont notamment été mis à pied “à titre conservatoire”. C’est un article du site de fact-checking de Libération Checknews qui a révélé vendredi dernier l’existence d’un groupe Facebook privé baptisé “Ligue du LOL” (pour “mort de rire”).

Ils ont soutiré deux millions d’euros grâce à un faux support informatique

Trois hommes ont organisé une vaste fraude qui, à coup de messages anxiogènes, consistait à inciter des internautes français à payer pour un faux service de dépannage informatique. Plus de 8 000 personnes sont tombées dans le panneau.

European Commission orders mass recall of creepy, leaky child-tracking smartwatch

The European Commission has ordered the recall of a smartwatch aimed at kids that allows miscreants to pinpoint the wearer’s location, posing a potentially “serious risk”. The commission uses its Rapid Alert System for Non-Food products (Rapex) to send out alerts to other nations in the European Economic Area about dangerous products in their markets.

Bank IT Manager Gets 10 Years for ATM Exploit

An IT developer at a Chinese bank has been jailed for over a decade after exploiting a vulnerability in its systems to withdraw more than $1m from ATMs. Qin Qisheng, 43, was a manager in Huaxia Bank’s technology development center in Beijing who spotted that a glitch in the lender’s core OS meant cash withdrawals around midnight weren’t recorded.

China Police Get Power to Remotely ‘Inspect’ Company Networks in China | SecurityWeek.Com

In June 2017, China’s new cybersecurity law gave its Ministry of State Security (basically, China’s spy agency) new powers over foreign technology. Now, new provisions announced in November 2018 under the title ‘Internet Safety Supervision and Inspection Regulations’ have expanded the intrusive capabilities of the Ministry of Public Security (MPS) — China’s internal police authority.

Divers

La Confédération condamne Whatsapp au profit de l’app suisse Threema

Pour que ses collaborateurs cessent d’utiliser Whatsapp à titre professionnel, la Confédération introduit l’alternative suisse Threema Work.

La Suisse va commencer à évaluer le risque Huawei

Huawei inquiète le monde. Les relations de confiance demeurent cependant encore intactes entre la Suisse et la firme chinoise. Les partenariats avec les opérateurs Swisscom et Sunrise se poursuivent. La création de plusieurs dizaines de nouveaux postes de travail dans le pays cette année n’est pas remise en cause.

1 Comment

Laisser un commentaire

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.