mercredi , 28 octobre 2020

Les mots de passe en clair de Facebook et 13 ans de données perdues par MySpace #veille (24 mars 2019)

Facebook passe à nouveau cette semaine pour le mauvais élève en matière de protection des données. On apprend ainsi que des des centaines de millions de mots de passe (entre 200 et 600 mios) étaient stockés en clair sur leur serveurs et accessibles à 20’000 employés. Facebook minimise bien sûr … et moi qui pensait que ces pratiques n’existaient plus depuis longtemps et en particulier pour des tels gros acteurs du web 🙁

Pas mieux pour MySpace qui a oublié que les bonnes pratiques de base prévoient que l’on effectue un backup avant une migration. Résultat: 50 millions de chansons effacées et perdues à tout jamais 🙁


️ Pour m'offrir un café en échange du travail de veille réalisé gratuitement

On remarquera principalement 2 cyber-attaques cette semaine. La première concerne Norsk Hydro,un grand producteur d’aluminium, qui s’est fait crypto-lockés et a dû passer à des opérations manuelles dans certains sites de production. La deuxième concerne des hackers qui ont fait paniqué les habitants de deux villes du Texas en piratant les systèmes d’alertes à la tornade.

Europol a annoncé cette semaine le nouveau protocole de l’Union européenne en matière de réaction d’urgence face aux cyberattaques transfrontalières majeures.

Cette semaine, vous noterez également le piratage d’une voiture Tesla lors d’une rencontre officielle de pirates et la création d’un master en cyber-sécurité au sein des écoles polytechniques fédérales EPF.

Et voici toutes actualités intéressantes sélectionnées cette semaine :

Vol / perte de données

MySpace loses 50 million songs in server migration

For at least a year, MySpace users have been complaining about broken links to music. On 1 February 2018, Redditor JodiXD got a dispiriting reply from MySpace, to the effect that there was “an issue” with all songs/videos uploaded more than three years ago.

E Hacking News – Latest Hacker News and IT Security News: Hacker Puts Up For Sale the Data of Six Companies, Totalling 26.42 Million User Records

Gnosticplayers, a hacker who already is for the most part known for putting up for sale more than 840 million user records in the previous month has yet again made an appearance and has returned with a fourth round of hacked data that he’s selling on a dark web marketplace.

FEMA exposed personal data on 2.3 million disaster survivors, violated privacy law, IG finds – CyberScoop

The U.S. Federal Emergency Management Agency exposed personally identifiable data about more than 2 million disaster survivors in violation of a federal privacy law, an inspector general’s investigation has found.

89% of EU Government Sites Infiltrated by Ad Tracking Scripts

Third-party advertising technology (ad tech) trackers from 112 companies were found on 89% of official government websites of EU member states by Cookiebot, a cookie and online tracking consent solution, after scanning 184,683 pages.

Cyber-attaques / fraudes

Tesla car hacked at Pwn2Own contest | ZDNet

A team of security researchers has hacked a Tesla Model 3 car on the last day of the Pwn2Own 2019 hacking contest that was held this week in Vancouver, Canada. Team Fluoroacetate –made up of Amat Cama and Richard Zhu– hacked the Tesla car via its browser.

Ransomware : Norsk Hydro bascule en manuel après une infection majeure

Technologie : La cyber-attaque a été identifiée comme étant une infection au logiciel de rançon LockerGoga. Cette attaque montre une nouvelle fois la vulnérabilité des systèmes industriels à ce type de menace. Site web de Norsk Hydro.

Panic after hackers take control of emergency tornado alarms in Texas

On March 12th, at around 2:30 a.m., residents of two Texas towns panicked after hearing tornado alarm that went off until 4:00 a.m. They were disturbed because the alarms repeatedly went on and off for about one and a half hours, thanks to hackers – Finally, related authorities were able to turn them off.

Medtronic defibrillators vulnerable to life threatening cyber attacks

Defibrillators are electronic devices manufactured to save the lives of people with life-threatening heart conditions such as Hypertrophic Cardiomyopathy (HCM). But now, according to the Department of Homeland Security (DHS), Medtronic defibrillators are vulnerable to cyber attacks allowing hackers to remotely control the device within “short-range access.”

New Europol Protocol Addresses Cross-Border Cyberattacks

The protocol is intended to support EU law enforcement in providing rapid assessment and response for cyberattacks across borders. The Council of the European Union has adopted a new EU Law Enforcement Emergency Response Protocol that is intended to aid in the response to large-scale, cross-border cyberattacks.

Failles / vulnérabilités

Facebook a stocké des centaines de millions de mots de passe non chiffrés

Nouvelle faille massive de la sécurité chez Facebook: des centaines de millions de mots de passe non chiffrés ont figuré pendant des années sur une base de données interne, accessible à de nombreux collaborateurs. “Lors d’une vérification de routine en janvier, nous nous sommes rendus compte que des mots de passe ont été stockés de manière lisible dans notre base de données interne.”

Microsoft Office Dominates Most Exploited List

Lone Android vulnerability among the top 10 software flaws most abused by cybercriminals. It should come as no surprise that cybercriminals favored Microsoft Office vulnerabilities in their cyberattacks last year, given the rise in phishing attacks that included rigged Word and Excel Office file attachments.

Réglementaire / juridique

EU adopts EU Law Enforcement Emergency Response Protocol for massive cyberattacks – Cyber Defense Magazine

Europol announced the EU Law Enforcement Emergency Response Protocol new protocol for law enforcement agencies in the European Union and abroad to handle major cross-border cyberattacks. Europol announced the adoption of a new protocol for law enforcement bodies in the EU and abroad to respond to major cyber cross-border cyberattacks.

Lithuanian Pleads Guilty to Stealing $100 Million From Google, Facebook

A Lithuanian man pleaded guilty to wire fraud, aggravated identity theft, and three counts of money laundering, and faces a maximum of 30 years in jail after tricking Google and Facebook employees into wiring over $100 million into bank accounts he controlled.

Divers

L’EPFL et l’EPFZ lancent un master conjoint en cybersécurité

Vols de données, attaques sur des infrastructures clé, piratages massifs: les questions de cybersécurité se trouvent au cœur d’une Suisse hyperconnectée. Dès la rentrée 2019, les étudiants(e) s de l’EPFL et de l’EPFZ pourront choisir un master en sécurité informatique.

https://blog.avira.com/the-world-is-vanishing-from-the-www/
https://www.ictjournal.ch/news/2019-03-21/le-secteur-prive-va-pouvoir-delivrer-les-e-id-suisses

About Marc Barbezat

Blogueur et spécialiste en cybersécurité

Check Also

Les voitures autonomes peuvent être trompées en affichant des objets virtuels

Les voitures à conduite autonome sont l'une des innovations technologiques les plus cool du 21e siècle mais elles présentent des failles

On peut reconnaître un cybercriminel au style de son code

La graphologie a donc aussi sa dimension cyber

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.

La newsletter