Une nouvelle méga-bévue de Facebook et 2 mios de bug bounty pour Microsoft en 2018 #veille (7 avril 2019)

Facebook continue de s’enfoncer dans la médiocrité en matière de cyber-sécurité. Presque chaque semaine, on découvre une nouvelle méga-bévue. Après les centaine de millions de mots de passe stockés en clair, on apprend donc cette semaine que Facebook a déposé des données sur le cloud Amazon … en accès libre, sans sécurité! Presque tous les enregistrements non protégés provenaient de Cultura Colectiva, une société de médias basée au Mexique contenant plus de 540 millions d’enregistrements détaillant les préférences des utilisateurs, les commentaires, les identifiants FB et bien plus encore (d’une valeur de 146 Go). L’autre groupe de données, lié à une application désormais disparue et intégrée à Facebook, appelée At the Pool, plus petit mais contenait des adresses e-mail et des mots de passe en clair pour 22 000 utilisateurs. On pourrait croire / espérer que la sécurité et la protection des données font partie de la culture de base telle société comme Facebook mais ces derniers faits divers nous montrent que tout est sacrifié sans vergogne sur l’autel de la rentabilité économique 🙁

Et voici toutes actualités intéressantes sélectionnées cette semaine :

Vol / perte de données

Unsecured databases found leaking half a billion resumes on the net
Barely a day goes by anymore without another report of sensitive data being left accessible to anyone on Elasticsearch servers or MongoDB databases that have not been properly configured. Today is no different.

540M Facebook Records Exposed on Amazon Servers | Avast
Facebook strikes again. In the latest security gaffe by the social media giant, over half a billion Facebook records have been found sitting in plain sight by third parties using Amazon’s cloud services. None of the cloud servers were password protected. Has this scenario become too familiar?

ZATAZ met la main sur 78 millions de nouvelles données privées – ZATAZ
Nouvelle fuite de données personnelles ! ZATAZ découvre plus de 78 millions de logs avec mails, logins et mots de passe.

Cybercrime Market with Roughly 385,000 Members Found on Facebook
An online black market offering cybercrime goods and services was found on Facebook, spreading over 74 groups and totaling around 385,000 members, according to a report by Cisco Talos security researchers. “The majority of these groups use fairly obvious group names, including ‘Spam Professional,’ ‘Spammer & Hacker Professional,’ ‘Buy Cvv On THIS SHOP PAYMENT BY BTC,’ and ‘Facebook hack (Phishing),’ says Cisco Talos.

Toyota data breach: Hackers steal 3.1 million customers’ data
World famous Japanese automobile maker Toyota has become the target of a third data breach only within two months’ time. In the latest data breach, it is reported that the company lost data of 3.1 million customers. Previously, Toyota Australia was targeted by cybercriminals and later the company’s main officers in Vietnam were also targeted.

Cyber-attaques / fraudes

Tesla autopilot feature hacked to risk oncoming traffic
Cybersecurity firm Keen Labs published a research paper [PDF] on Saturday in which it described the three hacks that the company detected that can be used to manipulate Tesla Model S. The first two hacks were directed towards the Autopilot lane recognition system while the third hack was targeted towards the vehicle’s windshield’s automated rain detection system.

EU Member States test their cybersecurity preparedness for fair and free 2019 EU elections
Press Release Today the European Parliament, the EU Member States, the European Commission and the EU Agency for cybersecurity (ENISA) organised an exercise to test the EU’s response and crisis plans for potential cybersecurity incidents affecting the EU elections.

Le géant pharmaceutique Bayer, visé par une cyberattaque, estime la menace ” contenue “
Sécurité : La société allemande affirme que le groupe cybercriminel Winnti est à l’origine de cette attaque. Pendant une année, elle a gardé un oeil sur les agissements des attaquants au sein de son système d’information.

Il y’a 20 ans : le virus érotique Melissa infecte le web
Technologie : Listé parmi les virus les plus destructeurs de l’histoire de la toile, le virus Melissa est découvert à partir de mars 1999. Son créateur, David L. Smith, ne sera condamné qu’en 2011 à 10 ans de prison. Le virus érotique.

Chinese Woman Arrested at Mar-a-Lago With Malware USB
A Chinese woman is in police custody after being arrested by Secret Service agents in the Mar-a-Lago resort carrying a thumb drive containing malware. A criminal complaint alleges 32-year-old Yujing Zhang tricked security staff into letting her enter the resort, where President Trump was staying at the time, by pretending not to understand English.

Hacker group has been hijacking DNS traffic on D-Link routers for three months | ZDNet
For the past three months, a cybercrime group has been hacking into home routers –mostly D-Link models– to change DNS server settings and hijack traffic meant for legitimate sites and redirect it to malicious clones.

Apple arnaqué par des étudiants qui ont détourné un million de dollars
Si Apple a déjà perdu beaucoup d’argent à cause d’une large fraude à la réparation d’iPhone en Chine, cela n’a pas empêché la marque à la pomme d’être victime d’une nouvelle arnaque récemment découverte. En effet, deux petits malins ont eu l’idée d’exploiter le service des réparations du groupe américain pour gagner environ un million de dollars en iPhone.

Failles / vulnérabilités

Il est possible d’altérer des images médicales pour faire croire à l’existence d’un cancer
Des chercheurs ont créé une intelligence artificielle qui permet de créer ou supprimer des tissus malades dans les images d’un scanner. Des falsifications qui pourraient être lourdes de conséquences.

Microsoft Paid $2,000,000 in Bounty Rewards in 2018 | SecurityWeek.Com
Microsoft has awarded more than $2,000,000 in bug bounty rewards to security researchers who have reported vulnerabilities via the company’s bounty program.

DNSSEC Usage in Switzerland is on the rise after widespread attacks on the Domain Name System
Attacks on the DNS System Cyber attacks on the DNS system are not new. Cache poisoning, Domain Hijacking and BGP injections of routes to public DNS resolvers happen regularly, but they usually don’t get much attention as they target the Internet’s core infrastructure and are not directly visible to end users in most cases.

Réglementaire / juridique

La Russie pourrait bloquer l’accès aux VPN qui ne bloquent pas les sites interdits
La Russie a placé certains sites dans une liste noire et bloqué leur accès. Il est possible de contourner ce blocage avec un VPN. Aussi la Russie a mis en demeure les principaux VPN de bloquer ces sites.

Ex-Mozilla CTO: US border cops demanded I unlock my phone, laptop at SF airport – and I’m an American citizen
Former Mozilla CTO Andreas Gal says he was interrogated for three hours by America’s border cops after arriving at San Francisco airport – because he refused to unlock his work laptop and phone. Gal, now employed by Apple, today claimed he was detained and grilled on November 29 after landing in California following a trip to Europe.

Linus Torvalds recommande la fin de l’anonymat sur internet et compare les réseaux sociaux à une maladie
Après avoir fait de nombreuses déclarations sur l’univers de Linux, au cours d’une interview auprès du Linux Journal, le magazine technologique mensuel publié par la société Linux Journal LLC, Linus Torvalds a fait quelques déclarations plutôt offensives à l’encontre des réseaux sociaux.

Divers

Septième cyber-landsgemeinde du Réseau national de sécurité
Informations actuelles de l’administration. Tous les communiqués de l’administration fédérale, des départements et des offices.

L’auteure d’un acte de vandalisme sur une Tesla reconnue et arrêtée grâce au mode Sentinelle de la voiture
Certes, les Tesla ne sont pas les seules voitures à faire l’objet de la convoitise des voleurs, et elles ne sont pas non plus les seules à disposer de systèmes antivol sophistiqués. Rappelons par exemple que BMW propose déjà depuis trois ans un dispositif qui permet de surveiller l’entourage de sa voiture en direct à l’aide de l’application et des caméras du véhicule.

Cybersécurité : SoftBank, Salesforce et Microsoft injectent 50 millions de dollars dans le Britannique Onfido – FrenchWeb.fr
Avec la multiplication des pirates en ligne, de plus en plus de données sensibles se retrouvent compromises, avec à la clé des risques d’usurpation d’identité. Dans ce contexte, la start-up londonienne Onfido a développé une solution permettant aux entreprises de vérifier l’identité des utilisateurs de leurs services numériques.