💡 Ne manquez plus l’essentiel
Les derniers articles
Toutes les catégories

Des piratages et des bug bounties #veille (17 fév 2019)

Beaucoup d’articles sélectionnés cette semaine (qui finalement couvre les 2 dernières semaines). Après collection#1, un nouveau piratage a été révélé avec 620 millions de données de sites web a priori très actuelles et donc nettement plus sensibles. La liste de sites concerné est longue 🙁 : Dubsmash (162 millions), MyFitnessPal (151 millions), MyHeritage (92 millions), ShareThis (41 millions), HauteLook (28 millions), Animoto (25 millions), EyeEm (22 millions), 8fit (20 millions), Whitepages (18 millions), Fotolog (16 millions), 500px (15 millions), Armor Games (11 millions), … sans oublier également un autre piratage qui a touché le site de photos 500px qui organise également de son côté la réinitialisation des ses comptes


Our engineering team recently learned of a potential security issue affecting your 500px user account. We are taking this issue extremely seriously and have taken immediate action to address the situation and ensure the protection of our users’ data. Although there is no indication of unauthorized access to your account, as a precautionary measure, we require you to reset your 500px account password.

l’équipe 500px, Canada

Mis à part les autres nombreux vols ou pertes de données capté dans cette veille, il y a une autre particularité: l’intérêt pour les bug bounties et ce n’est pas la levée de fond de 4 Mios de Yes We Hack qui va le contredire.

Offrez un café pour soutenir cette veille indépendante
☕ Je soutiens DCOD

Comme vous pourrez le voir ci-dessous, il y a beaucoup d’actualités intéressantes et diverses recueillies cette semaine … à vous de voir 🙂 Belle semaine à vous!

Vol / perte de données

Les données de 620 millions de comptes ont été piratées

MyFitnessPal ou MyHeritage sont les deux sites qui ont été le plus touchés par le piratage massif d’une dizaine de sites, dont le butin total avoisine les 620 millions de comptes piratés.

Hacker who stole 620 million records strikes again, stealing 127 million more

A hacker who stole close to 620 million user records from 16 websites has stolen another 127 million records from eight more websites, TechCrunch has learned.

Millions Affected by 500px Data Breach

Photo network resets passwords after incident last July

Les données personnelles des cadors de la cyberdéfense française ont fuité sur la Toile

Plus de 2 200 noms et coordonnées personnelles des principaux directeurs en sécurité informatique de la Nation étaient en accès libre sur le site Web du Clusif, le club des experts en sécurité informatique français.

Devastating Cyberattack on Email Provider Destroys 18 Years of Data

All data belonging to US users-including backup copies-have been deleted in catastrophe, VFEmail says.

Google Chrome extension warns if your password has been leaked

Google has released an optional extension for its Chrome browser that will trigger a visual warning if it determines you are using a username/password combination that it knows to be unsafe.

Donald Trump’s ‘Executive Time’ leak – journalists retype documents to protect White House source

Such a leak is likely to anger Trump and the White House, of course, and so Axios had to be careful not to throw their source under the bus.

Cyber-attaques / fraudes

Two hacker groups responsible for 60 percent of all publicly reported hacks

The two hacker groups suspected of stealing around $1 billion worth of cryptocurrency.

Runet : la Russie va se déconnecter d’internet et tester son propre réseau

La Russie va se déconnecter du web mondial le temps d’un test prévu pour le 1er avril 2019. Le pays …

Hackers tried to steal €13 million from Malta’s Bank of Valletta

Hackers tried to send funds to banks in the UK, the US, the Czech Republic, and Honk Kong. Transactions are being reverted.

Russian ISPs plan internet disconnection test for entire country

Russia’s major ISPs plan to temporarily disconnect servers from the internet, effectively cutting the country off from the outside world.

Failles / vulnérabilités

Suisse : 200 000 dollars de récompense, pour pirater le système de vote électronique

Pour tester son nouveau système de vote électronique, la Poste Suisse organise un grand test public d’intrusion, qui aura lieu du 25 février au 24 mars 2019.

https://www.welivesecurity.com/fr/2019/02/07/union-europeenne-bug-bounty/

UK Launches £6m IoT Security Competition

Government is looking for innovative ideas from British firms

Comment cette ampoule intelligente divulguait votre mot de passe Wi-Fi (entre autre)

Les ampoules intelligentes LIFX contenaient des vulnérabilités qui pouvaient être exploitées avec un peu d’ingéniosité. Et d’une scie à métaux.

Android : une simple image PNG permet de pirater n’importe quel smartphone

Google a découvert plus d’une quaantaine de failles de sécurtié dans Android dont l’une permet de pirater n’importe quel smartphone grâce à une image PNG.

Microsoft ne veut plus que vous utilisiez Internet Explorer

Utiliser Internet Explorer comme navigateur par défaut constitue un risque. Et c’est Microsoft qui le dit. Aujourd’hui, la firme de Redmond voit IE comme un outil de compatibilité, plutôt que comme un vrai navigateur.

Yes We Hack lève 4 millions d’euros pour renforcer sa plateforme d’hackers éthiques à l’international

De plus en plus d’entreprises font appel au système du Bug Bounty ou « prime à la faille ».

Vidéo : on a hacké une trottinette Xiaomi en quelques secondes !

Une application Android permet à n’importe qui de verrouiller à distance une trottinette Xiaomi M365 / Mi Electric Scooter. Nos tests montrent que ce piratage fonctionne sans problème et qu’il est loin d’être inoffensif pour les utilisateurs.

Il a trouvé une faille critique dans macOS… mais ne veut pas la livrer à Apple

Un chercheur en sécurité a révélé une faille zero-day dans le coffre-fort des mots de passe de macOS. Mais il ne veut pas transmettre les détails à Apple tant que celui-ci ne proposera pas de bug bounty. Une question de principe, selon lui.

Réglementaire / juridique

404

Suite à la récente migration de www.melani.admin.ch à www.ncsc.admin.ch, la structure du site a été modifiée, ce qui peut aboutir à des liens erronés et à un tel message d’erreur. Les moyens de recherche suivant sont à votre disposition :

Des journalistes français rattrapés par leur passé de cyberharceleurs

Le cyberharcèlement sur les réseaux sociaux laisse des traces: plusieurs journalistes français ont été suspendus par leurs employeurs lundi pour avoir appartenu à « La ligue du LOL », un groupe dénoncé par de nombreuses victimes ces derniers jours.

Ils ont soutiré deux millions d’euros grâce à un faux support informatique

Trois hommes ont organisé une vaste fraude qui, à coup de messages anxiogènes, consistait à inciter des internautes français à payer pour un faux service de dépannage informatique. Plus de 8 000 personnes sont tombées dans le panneau.

European Commission orders mass recall of creepy, leaky child-tracking smartwatch

Hackers can talk to and locate the wearer, warns notice

Bank IT Manager Gets 10 Years for ATM Exploit

Huaxia Bank employee stole $1m from cash points

China Police Get Power to Remotely ‘Inspect’ Company Networks in China

In June 2017, China’s new cybersecurity law gave its Ministry of State Security (basically, China’s spy agency) new powers over foreign technology. Now, new provisions announced in November 2018 under the title ‘Internet Safety Supervision and Inspection Regulations’ have expanded the intrusive capabilities of the Ministry of Public Security (MPS) — China’s internal police authority.

Divers

La Confédération condamne Whatsapp au profit de l’app suisse Threema

Pour que ses collaborateurs cessent d’utiliser Whatsapp à titre professionnel, la Confédération introduit l’alternative suisse Threema Work.

La Suisse va commencer à évaluer le risque Huawei

La Commission de politique de sécurité interrogera bientôt le Service de renseignement de la Confédération sur le géant chinois.

💡 Ne manquez plus l'essentiel
Recevez les analyses et tendances cybersécurité directement dans votre boîte mail.

Vous appréciez nos analyses ?
Soutenez DCOD en offrant un café ☕

Oui pour un café merci !
Etiquettes

Le créateur et l'éditeur de DCOD.CH - Restons en contact !

1 commentaire
  1. Ping : Veille Cyber N219 – 25 février 2019 |

Commentaires désactivés.

📚 Pour prolonger la réflexion ou approfondir certains points abordés, voici quelques lectures recommandées par DCOD :

Des idées de lecture cybersécurité

La cybersécurité pour les Nuls

La cybersécurité pour les Nuls

Pour obtenir toutes les informations sur la cybersécurité, apprendre à protéger ses données sensibles sereinement et à éviter le hacking.

📘 Voir sur Amazon
Ethical Hacking

Sécurité informatique - Ethical Hacking

Ce livre a pour objectif d'initier le lecteur aux techniques des attaquants pour lui apprendre comment se défendre.

📘 Voir sur Amazon
Cyberattaques

Cyberattaques : Les dessous d'une menace mondiale

Un documentaire captivant et éclairant sur les affrontements entre attaquants et défenseurs du numérique, face à la plus grande menace de la prochaine décennie.

📘 Voir sur Amazon

🛒 Les liens ci-dessus sont affiliés : en commandant via ces liens, vous soutenez la veille DCOD sans frais supplémentaires 🙏

🚀 DCOD, c’est 100 % d’analyses, 0 % de pub.

Vous aimez notre veille ? Offrez un café pour soutenir DCOD ! ☕🙏

Chaque don aide à couvrir l’hébergement, les outils pros et le temps d’analyse.

Moins cher qu’un latte, mais bien plus utile au quotidien 🧠

×