Navigation
Les derniers articles
Suivez en direct

Des piratages et des bug bounties #veille (17 fév 2019)

bounty 1744067 1280

Beaucoup d’articles sélectionnés cette semaine (qui finalement couvre les 2 dernières semaines). Après collection#1, un nouveau piratage a été révélé avec 620 millions de données de sites web a priori très actuelles et donc nettement plus sensibles. La liste de sites concerné est longue 🙁 : Dubsmash (162 millions), MyFitnessPal (151 millions), MyHeritage (92 millions), ShareThis (41 millions), HauteLook (28 millions), Animoto (25 millions), EyeEm (22 millions), 8fit (20 millions), Whitepages (18 millions), Fotolog (16 millions), 500px (15 millions), Armor Games (11 millions), … sans oublier également un autre piratage qui a touché le site de photos 500px qui organise également de son côté la réinitialisation des ses comptes

L'essentiel Cybersécurité, IA & Tech

Rejoignez la communauté. 3 fois par semaine, recevez l'analyse des tendances par Marc Barbezat. Pas de spam, juste de l'info.

Ou suivez le flux temps réel
Telegram Discord


Our engineering team recently learned of a potential security issue affecting your 500px user account. We are taking this issue extremely seriously and have taken immediate action to address the situation and ensure the protection of our users’ data. Although there is no indication of unauthorized access to your account, as a precautionary measure, we require you to reset your 500px account password.

l’équipe 500px, Canada

Mis à part les autres nombreux vols ou pertes de données capté dans cette veille, il y a une autre particularité: l’intérêt pour les bug bounties et ce n’est pas la levée de fond de 4 Mios de Yes We Hack qui va le contredire.

Comme vous pourrez le voir ci-dessous, il y a beaucoup d’actualités intéressantes et diverses recueillies cette semaine … à vous de voir 🙂 Belle semaine à vous!

Vol / perte de données

Les données de 620 millions de comptes ont été piratées

MyFitnessPal ou MyHeritage sont les deux sites qui ont été le plus touchés par le piratage massif d’une dizaine de sites, dont le butin total avoisine les 620 millions de comptes piratés.

Hacker who stole 620 million records strikes again, stealing 127 million more

A hacker who stole close to 620 million user records from 16 websites has stolen another 127 million records from eight more websites, TechCrunch has learned.

Millions Affected by 500px Data Breach

Photo network resets passwords after incident last July

Les données personnelles des cadors de la cyberdéfense française ont fuité sur la Toile

Plus de 2 200 noms et coordonnées personnelles des principaux directeurs en sécurité informatique de la Nation étaient en accès libre sur le site Web du Clusif, le club des experts en sécurité informatique français.

Devastating Cyberattack on Email Provider Destroys 18 Years of Data

All data belonging to US users-including backup copies-have been deleted in catastrophe, VFEmail says.

Google Chrome extension warns if your password has been leaked

Google has released an optional extension for its Chrome browser that will trigger a visual warning if it determines you are using a username/password combination that it knows to be unsafe.

Donald Trump’s ‘Executive Time’ leak – journalists retype documents to protect White House source

Such a leak is likely to anger Trump and the White House, of course, and so Axios had to be careful not to throw their source under the bus.

Cyber-attaques / fraudes

Two hacker groups responsible for 60 percent of all publicly reported hacks

The two hacker groups suspected of stealing around $1 billion worth of cryptocurrency.

Runet : la Russie va se déconnecter d’internet et tester son propre réseau

La Russie va se déconnecter du web mondial le temps d’un test prévu pour le 1er avril 2019. Le pays …

Hackers tried to steal €13 million from Malta’s Bank of Valletta

Hackers tried to send funds to banks in the UK, the US, the Czech Republic, and Honk Kong. Transactions are being reverted.

Russian ISPs plan internet disconnection test for entire country

Russia’s major ISPs plan to temporarily disconnect servers from the internet, effectively cutting the country off from the outside world.

Failles / vulnérabilités

Suisse : 200 000 dollars de récompense, pour pirater le système de vote électronique

Pour tester son nouveau système de vote électronique, la Poste Suisse organise un grand test public d’intrusion, qui aura lieu du 25 février au 24 mars 2019.

https://www.welivesecurity.com/fr/2019/02/07/union-europeenne-bug-bounty/

UK Launches £6m IoT Security Competition

Government is looking for innovative ideas from British firms

Comment cette ampoule intelligente divulguait votre mot de passe Wi-Fi (entre autre)

Les ampoules intelligentes LIFX contenaient des vulnérabilités qui pouvaient être exploitées avec un peu d’ingéniosité. Et d’une scie à métaux.

Android : une simple image PNG permet de pirater n’importe quel smartphone

Google a découvert plus d’une quaantaine de failles de sécurtié dans Android dont l’une permet de pirater n’importe quel smartphone grâce à une image PNG.

Microsoft ne veut plus que vous utilisiez Internet Explorer

Utiliser Internet Explorer comme navigateur par défaut constitue un risque. Et c’est Microsoft qui le dit. Aujourd’hui, la firme de Redmond voit IE comme un outil de compatibilité, plutôt que comme un vrai navigateur.

Yes We Hack lève 4 millions d’euros pour renforcer sa plateforme d’hackers éthiques à l’international

De plus en plus d’entreprises font appel au système du Bug Bounty ou « prime à la faille ».

Vidéo : on a hacké une trottinette Xiaomi en quelques secondes !

Une application Android permet à n’importe qui de verrouiller à distance une trottinette Xiaomi M365 / Mi Electric Scooter. Nos tests montrent que ce piratage fonctionne sans problème et qu’il est loin d’être inoffensif pour les utilisateurs.

Il a trouvé une faille critique dans macOS… mais ne veut pas la livrer à Apple

Un chercheur en sécurité a révélé une faille zero-day dans le coffre-fort des mots de passe de macOS. Mais il ne veut pas transmettre les détails à Apple tant que celui-ci ne proposera pas de bug bounty. Une question de principe, selon lui.

Réglementaire / juridique

404

Suite à la récente migration de www.melani.admin.ch à www.ncsc.admin.ch, la structure du site a été modifiée, ce qui peut aboutir à des liens erronés et à un tel message d’erreur. Les moyens de recherche suivant sont à votre disposition :

Des journalistes français rattrapés par leur passé de cyberharceleurs

Le cyberharcèlement sur les réseaux sociaux laisse des traces: plusieurs journalistes français ont été suspendus par leurs employeurs lundi pour avoir appartenu à « La ligue du LOL », un groupe dénoncé par de nombreuses victimes ces derniers jours.

Ils ont soutiré deux millions d’euros grâce à un faux support informatique

Trois hommes ont organisé une vaste fraude qui, à coup de messages anxiogènes, consistait à inciter des internautes français à payer pour un faux service de dépannage informatique. Plus de 8 000 personnes sont tombées dans le panneau.

European Commission orders mass recall of creepy, leaky child-tracking smartwatch

Hackers can talk to and locate the wearer, warns notice

Bank IT Manager Gets 10 Years for ATM Exploit

Huaxia Bank employee stole $1m from cash points

China Police Get Power to Remotely ‘Inspect’ Company Networks in China

In June 2017, China’s new cybersecurity law gave its Ministry of State Security (basically, China’s spy agency) new powers over foreign technology. Now, new provisions announced in November 2018 under the title ‘Internet Safety Supervision and Inspection Regulations’ have expanded the intrusive capabilities of the Ministry of Public Security (MPS) — China’s internal police authority.

Divers

La Confédération condamne Whatsapp au profit de l’app suisse Threema

Pour que ses collaborateurs cessent d’utiliser Whatsapp à titre professionnel, la Confédération introduit l’alternative suisse Threema Work.

La Suisse va commencer à évaluer le risque Huawei

La Commission de politique de sécurité interrogera bientôt le Service de renseignement de la Confédération sur le géant chinois.

Zéro paywall. Zéro pub.
DCOD reste en accès libre grâce à vos contributions. Chaque café compte.

☕ Je participe
Etiquettes

Fondateur et éditeur de DCOD - Restons en contact !

A lire également
1 commentaire
  1. Ping : Veille Cyber N219 – 25 février 2019 |

Commentaires désactivés.

Des idées de lecture recommandées par DCOD

La cybersécurité pour les Nuls, 2ème édition

Ce livre d'informatique pour les Nuls est destiné à tous ceux qui veulent en savoir plus sur la cybersécurité. A l'heure où protéger ses données personnelles est devenu primordial sur le net, notre ouvrage vous donne les clés pour éviter le hacking et le vol de vos données. Quelque soit votre niveau en informatique, n'hésitez plus et naviguez sur le web en toute sérénité grâce à ce livre pour les Nuls !

📘 Voir sur Amazon
Page frontale du livre 100 Faits à Savoir sur la Cybersécurité

100 Faits à Savoir sur la Cybersécurité

Vous êtes-vous déjà demandé comment les hackers parviennent à pénétrer des systèmes apparemment sécurisés ? Pourquoi entendons-nous tant parler des botnets et que peuvent-ils vraiment faire ? Et qu'en est-il de ce fameux quantum computing qui menace de bouleverser la cryptographie ?

📘 Voir sur Amazon
Page frontale du livre Les Secrets du Darknet

Les Secrets du Darknet

Écrit par DarkExplorer, un ancien hacker repenti, ce guide complet vous offre une plongée fascinante dans les coulisses du Darknet, ainsi que les outils et les techniques nécessaires pour naviguer en toute sécurité dans cet univers souvent dangereux et mystérieux.

📘 Voir sur Amazon

🛒 Les liens ci-dessus sont affiliés : en commandant via ces liens, vous soutenez la veille DCOD sans frais supplémentaires 🙏

💡

Note : Certaines images ou extraits présents dans cet article proviennent de sources externes citées à des fins d’illustration ou de veille.
Ce site est indépendant et à but non lucratif. 👉 En savoir plus sur notre cadre d’utilisation.