Les mots de passe en clair de Facebook et 13 ans de données perdues par MySpace #veille (24 mars 2019)

Déroulez ici

Facebook passe à nouveau cette semaine pour le mauvais élève en matière de protection des données. On apprend ainsi que des des centaines de millions de mots de passe (entre 200 et 600 mios) étaient stockés en clair sur leur serveurs et accessibles à 20’000 employés. Facebook minimise bien sûr … et moi qui pensait que ces pratiques n’existaient plus depuis longtemps et en particulier pour des tels gros acteurs du web 🙁


Pour m'offrir un café en échange du travail de veille réalisé gratuitement

Pas mieux pour MySpace qui a oublié que les bonnes pratiques de base prévoient que l’on effectue un backup avant une migration. Résultat: 50 millions de chansons effacées et perdues à tout jamais 🙁

On remarquera principalement 2 cyber-attaques cette semaine. La première concerne Norsk Hydro,un grand producteur d’aluminium, qui s’est fait crypto-lockés et a dû passer à des opérations manuelles dans certains sites de production. La deuxième concerne des hackers qui ont fait paniqué les habitants de deux villes du Texas en piratant les systèmes d’alertes à la tornade.

Europol a annoncé cette semaine le nouveau protocole de l’Union européenne en matière de réaction d’urgence face aux cyberattaques transfrontalières majeures.

Cette semaine, vous noterez également le piratage d’une voiture Tesla lors d’une rencontre officielle de pirates et la création d’un master en cyber-sécurité au sein des écoles polytechniques fédérales EPF.

Et voici toutes actualités intéressantes sélectionnées cette semaine :

Vol / perte de données

MySpace loses 50 million songs in server migration

For at least a year, MySpace users have been complaining about broken links to music. On 1 February 2018, Redditor JodiXD got a dispiriting reply from MySpace, to the effect that there was “an issue” with all songs/videos uploaded more than three years ago.

Hacker Puts Up For Sale the Data of Six Companies, Totalling 26.42 Million User Records

Gnosticplayers, a hacker who already is for the most part known for putting up for sale more than 840 million user records in the previous month has yet again made an appearance and has returned with a fourth round of hacked data that he’s selling on a dark web marketplace.

FEMA exposed personal data on 2.3 million disaster survivors, violated privacy law, IG finds – CyberScoop

The U.S. Federal Emergency Management Agency exposed personally identifiable data about more than 2 million disaster survivors in violation of a federal privacy law, an inspector general’s investigation has found.

89% of EU Government Sites Infiltrated by Ad Tracking Scripts

Third-party advertising technology (ad tech) trackers from 112 companies were found on 89% of official government websites of EU member states by Cookiebot, a cookie and online tracking consent solution, after scanning 184,683 pages.

Cyber-attaques / fraudes

Tesla car hacked at Pwn2Own contest | ZDNet

A team of security researchers has hacked a Tesla Model 3 car on the last day of the Pwn2Own 2019 hacking contest that was held this week in Vancouver, Canada. Team Fluoroacetate –made up of Amat Cama and Richard Zhu– hacked the Tesla car via its browser.

Ransomware : Norsk Hydro bascule en manuel après une infection majeure

Technologie : La cyber-attaque a été identifiée comme étant une infection au logiciel de rançon LockerGoga. Cette attaque montre une nouvelle fois la vulnérabilité des systèmes industriels à ce type de menace.

Panic after hackers take control of emergency tornado alarms in Texas

On March 12th, at around 2:30 a.m., residents of two Texas towns panicked after hearing tornado alarm that went off until 4:00 a.m. They were disturbed because the alarms repeatedly went on and off for about one and a half hours, thanks to hackers – Finally, related authorities were able to turn them off.

Medtronic defibrillators vulnerable to life threatening cyber attacks

Defibrillators are electronic devices manufactured to save the lives of people with life-threatening heart conditions such as Hypertrophic Cardiomyopathy (HCM). But now, according to the Department of Homeland Security (DHS), Medtronic defibrillators are vulnerable to cyber attacks allowing hackers to remotely control the device within “short-range access.”

New Europol Protocol Addresses Cross-Border Cyberattacks

The protocol is intended to support EU law enforcement in providing rapid assessment and response for cyberattacks across borders. The Council of the European Union has adopted a new EU Law Enforcement Emergency Response Protocol that is intended to aid in the response to large-scale, cross-border cyberattacks.

Failles / vulnérabilités

Facebook a stocké des centaines de millions de mots de passe non chiffrés

“Lors d’une vérification de routine en janvier, nous nous sommes rendus compte que des mots de passe ont été stockés de manière lisible dans notre base de données interne.” Le communiqué de Facebook jeudi soir sur sa newsroom interne est un doux euphémisme.

Microsoft Office Dominates Most Exploited List

Lone Android vulnerability among the top 10 software flaws most abused by cybercriminals. It should come as no surprise that cybercriminals favored Microsoft Office vulnerabilities in their cyberattacks last year, given the rise in phishing attacks that included rigged Word and Excel Office file attachments.

Réglementaire / juridique

EU adopts EU Law Enforcement Emergency Response Protocol for massive cyberattacks

Europol announced the EU Law Enforcement Emergency Response Protocol new protocol for law enforcement agencies in the European Union and abroad to handle major cross-border cyberattacks. Europol announced the adoption of a new protocol for law enforcement bodies in the EU and abroad to respond to major cyber cross-border cyberattacks.

Lithuanian Pleads Guilty to Stealing $100 Million From Google, Facebook

A Lithuanian man pleaded guilty to wire fraud, aggravated identity theft, and three counts of money laundering, and faces a maximum of 30 years in jail after tricking Google and Facebook employees into wiring over $100 million into bank accounts he controlled.

Divers

L’EPFL et l’EPFZ lancent un master conjoint en cybersécurité

Vols de données, attaques sur des infrastructures clé, piratages massifs: les questions de cybersécurité se trouvent au cœur d’une Suisse hyperconnectée. Dès la rentrée 2019, les étudiants(e) s de l’EPFL et de l’EPFZ pourront choisir un master en sécurité informatique.

The World is vanishing from the WWW – Say hello to the RWW – Avira Blog

Don’t expect the WWW moniker to vanish – but after 30 years, the internet is no longer about free communication around the world. Instead, it has become the RWW – the Regional Watching Web.

Le secteur privé va pouvoir délivrer les e-ID suisses

Concernant la loi sur les services d’identification électronique, le Conseil national a accepté le projet du Conseil fédéral qui prévoit un partage des rôles entre acteurs publics et privés.

1 Comment

Laisser un commentaire

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.

La newsletter