Un premier hacker millionnaire grâce aux bug bounties #veille (2 mars 2019)

Déroulez ici

Un hacker de 19 ans est le premier à avoir comptabiliser un bénéfice total de plus d’un million de dollars provenant de la publication de vulnérabilités de sécurité par le biais du programme de bug bounty de HackerOne. Il a enregistré 1676 vulnérabilités distinctes concernant des sociétés renommées telles que Verizon, Automattic, Twitter, etc. Sa plus grosse prime était de 9 000 USD pour une falsification de requête côté serveur (SSRF).


Pour m'offrir un café en échange du travail de veille réalisé gratuitement

L’ICANN (Société Internet pour les noms et numéros attribués) s’alarme de la récente série d’attaques DNS qui tente de s’emparer des domaines de messagerie et du Web pour détourner le trafic vers des serveurs imposteurs. L’ICANN fait ainsi la promotion à mettre en œuvre dès que possible une couche de sécurité DNS appelée DNSSEC (extensions de sécurité du système de nom de domaine).

Et voici toutes actualités intéressantes sélectionnées cette semaine :

Vol / perte de données

Data Leak Exposes Dow Jones Watchlist Database

The Watchlist, which contained the identities of government officials, politicians, and people of political interest, is used to identify risk when researching someone. A data leak from an unsecured Elasticsearch server has exposed the Dow Jones Watchlist database, which contains information on high-risk individuals and was left on a server sans password.

Des applis de fitness et de santé transfèrent des données en douce à Facebook

Rythme cardiaque, suivi des règles… Les données qui atterrissent dans les serveurs du réseau social sont parfois très sensibles. Et les utilisateurs ne sont pas informés de ce transfert.

Cyber-attaques / fraudes

Des cyberattaques persistantes détournent des adresses web à l’échelle mondiale

L’Icann alerte sur des cyberattaques continues et de plus en plus fréquentes ciblant les systèmes DNS pour détourner des adresses web. Les domaines de gouvernements, d’entreprises et de services de renseignement seraient concernés.

Cyberattaque en Australie, sans doute l’oeuvre d’un État “sophistiqué”

Il n’a toutefois pas désigné de suspect à ce stade. En amont des élections fédérales prévues en mai prochain, il a été demandé ce mois-ci aux parlementaires de modifier en urgence leurs mots de passe informatiques après que les services du renseignement ont décelé une cyberattaque contre le réseau informatique du Parlement.

2’700 hackers ont commencé à essayer de pirater le système d’e-voting de la Poste

C’est parti: jusqu’au 24 mars, 2’700 hackers du monde entier vont tenter de pirater le système de vote électronique de la Poste afin d’en vérifier la fiabilité. La Confédération et les cantons ont confié la gestion de ce Bug Bounty à la société romande SCRT.

28 Billion Credential Stuffing Attempts During Second Half of 2018

During the second half of 2018, between May and December 2018, roughly 28 billion credential stuffing attempts have been detected, with retail websites being the main target of credential abuse with 10 billion attempts.

First Hacker Millionaire on HackerOne

At 19, Santiago Lopez is already counting earnings totaling over USD 1 million from reporting security vulnerabilities through vulnerability coordination and bug bounty program HackerOne. He’s the first to make this kind of money on the platform. In 2015 when he was 16-years old, Lopez started to learn about hacking.

Fake news : selon l’UE, Facebook ne lui dit pas tout sur ses efforts

Ce genre de reproches ressemble aux remontrances d’un professeur pas dupe vis-à-vis du cancre du fond de la classe qui prétend avoir fait son travail. En l’espèce, l’UE choisit bien son jour pour faire ses remontrances. À moins que ce soit le qui diffuse l’information à 0 heures 01 GMT le jour J.

iPhone hacking tool Cellebrite being sold on eBay

Cellebrite UFED, an iPhone hacking tool made in Israel and widely used by the law enforcement authorities including the Federal Bureau of Investigation, Customs Enforcement and Immigration departments is surprisingly up for sale on eBay. This tool is mainly used for hacking or breaking open modern mobile phones such as iPhones and Androids for the sole purpose of obtaining data.

B0r0nt0K Ransomware Wants $75,000 Ransom, Infects Linux Servers

A new ransomware called B0r0nt0K is encrypting victim’s web sites and demanding a 20 bitcoin, or approximately $75,000, ransom. This ransomware is known to infect Linux servers, but may also be able to encrypt users running Windows. In a BleepingComputer forum post, a user stated that a client’s web site was encrypted with the new B0r0nt0K Ransomware.

LinkedIn Messaging Abused to Target US Companies With Backdoors

A series of malware campaigns that push the More_eggs backdoor via fake jobs offers are targeting employees of US companies which use shopping portals and similar online payment systems. The final payload used in this phishing campaign is always the JavaScript-based backdoor known as More_eggs, a malware strain designed to allow the attackers to control the compromised machines remotely and to enable them to drop extra malware payloads on their victims’ computers.

Popular ‘cryptojacking’ service Coinhive will shut down next week

Coinhive, a service that allows websites to use their visitor’s computers to mine cryptocurrencies, is shutting down, ZDNet reports. All of the service’s in-browser mining scripts will stop working on March 8th, and users will have until April 30th to withdraw any remaining Monero – the anonymity-focused cryptocurrency mined by the software – from their accounts.

Failles / vulnérabilités

Une faille dans les protocoles 4G et 5G permet de localiser les abonnés

Ce n’est pas avec la 5G que les ” IMSI-catcher “, ces boîtiers qui permettent d’espionner les abonnés mobiles aux alentours, vont disparaître. Un groupe de cinq chercheurs vient de révéler une nouvelle attaque baptisée ” Torpedo ” qui permet de savoir si un abonné est présent ou non dans une cellule 4G ou 5G.

ICANN demands DNSSEC combats DNS hijacking

The Domain Name System (DNS), without which the web would be a mass of network numbers with no friendly server names such as example.net or nakedsecurity.sophos.com, is under threat from cyberattackers and domain overseer ICANN wants internet companies to do something about it.

Samsung refourgue l’antivirus de McAfee… dans ses téléviseurs connectés

A la suite d’un partenariat commercial, les nouveaux téléviseurs sous Tizen 3.0 disposeront d’un antivirus préinstallé et gratuit. Mais malheureusement pas très utile.

Lime n’en n’a pas fini avec les problèmes de sécurité de ses trottinettes électriques

Après la Suisse, la Nouvelle-Zélande. Non il ne s’agit pas des résultats d’un sondage sur la qualité de vie, mais des deux pays qui causent bien du souci à la startup de location de trottinettes électriques Lime.

Réglementaire / juridique

Russian creator of NeverQuest banking trojan pleads guilty in…

Stanislav Lisov, a 33-year-old Russian national, has admitted in a US court to being the mastermind behind the sophisticated NeverQuest banking trojan. NeverQuest (also known as Vawtrak and Snifula) is a family of trojan horses that have been in circulation since 2012, generating a significant…

Krebs on Security

A Russian court has handed down lengthy prison terms for two men convicted on treason charges for allegedly sharing information about Russian cybercriminals with U.S. law enforcement officials.

Données personnelles: une enquête ouverte contre Facebook à New York – FrenchWeb.fr

Interrogé par l’AFP, Facebook a confirmé ” Facebook faisait face jeudi à un nouveau front juridique: un régulateur new-yorkais a ouvert une enquête sur la façon dont le réseau social a récupéré des données personnelles sensibles d’une dizaine d’applications pour smartphone, a indiqué à l’AFP une source proche du dossier.

Divers

Google vise l’authentification sans mot de passe sur Android avec FIDO2

Avec la certification FIDO2 pour Android, Google ouvre la voie à la connexion sans mot de passe aux applications et aux sites Web sur un milliard d’appareils.

Les cantons payeront 13’750 francs par mois pour le logiciel espion de la Confédération

Les coûts du déploiement et de l’utilisation des logiciels de surveillance prévus par la révision de la LSCPT seront partagés par la Confédération et les cantons.

SPARTA – Un projet collaboratif pour coordonner la recherche, l’innovation et la formation en matière de cybersécurité au sein de l’Union européenne

SPARTA est un nouveau réseau de compétences en cybersécurité soutenu par le programme européen H2020. Il vise à coordonner et développer la mise en œuvre de la recherche et de l’innovation de haut niveau en matière de sécurité numérique, pour renforcer l’autonomie stratégique de l’Union Européenne (UE).

Plus de 2200 visiteurs aux Swiss Cyber Security Days à Fribourg

Les Swiss Cyber Security Days ont mis en évidence la menace croissante des cyberattaques

Bientôt un identifiant unique pour accéder à tous les médias en ligne français ?

Les entreprises de médias désireuses d’approfondir leurs relations avec leurs publics font équipe et se tournent vers des systèmes de connexion unifiés afin que les utilisateurs puissent accéder à plusieurs sites médias via une seule adresse e-mail.

1 Comment

Laisser un commentaire

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.

La newsletter