Un premier hacker millionnaire grâce aux bug bounties #veille (2 mars 2019)

Offrez un café pour soutenir cette veille indépendante.

Un hacker de 19 ans est le premier à avoir comptabiliser un bénéfice total de plus d’un million de dollars provenant de la publication de vulnérabilités de sécurité par le biais du programme de bug bounty de HackerOne. Il a enregistré 1676 vulnérabilités distinctes concernant des sociétés renommées telles que Verizon, Automattic, Twitter, etc. Sa plus grosse prime était de 9 000 USD pour une falsification de requête côté serveur (SSRF).

L’ICANN (Société Internet pour les noms et numéros attribués) s’alarme de la récente série d’attaques DNS qui tente de s’emparer des domaines de messagerie et du Web pour détourner le trafic vers des serveurs imposteurs. L’ICANN fait ainsi la promotion à mettre en œuvre dès que possible une couche de sécurité DNS appelée DNSSEC (extensions de sécurité du système de nom de domaine).

Et voici toutes actualités intéressantes sélectionnées cette semaine :

Vol / perte de données

Data Leak Exposes Dow Jones Watchlist Database
The Watchlist, which contained the identities of government officials, politicians, and people of political interest, is used to identify risk when researching

Des applis de fitness et de santé transfèrent des données en douce à Facebook
Rythme cardiaque, suivi des règles… Les données qui atterrissent dans les serveurs du réseau social sont parfois très sensibles. Et les utilisateurs ne sont pas informés de ce transfert.

Cyber-attaques / fraudes

https://www.ictjournal.ch/news/2019-02-25/des-cyberattaques-persistantes-detournent-des-adresses-web-a-lechelle-mondiale

Cyberattaque en Australie, sans doute l’oeuvre d’un État « sophistiqué »
Un gouvernement étranger a vraisemblablement mené une cyberattaque visant les parlementaires australiens en s’introduisant dans les réseaux informatiques des principaux partis politiques du pays, a déclaré lundi le Premier ministre Scott Morrison.

2’700 hackers ont commencé à essayer de pirater le système d’e-voting de la Poste
C’est parti: jusqu’au 24 mars, 2’700 hackers du monde entier vont tenter de pirater le système de vote électronique de la Poste afin d’en vérifier la fiabilité. La Confédération et les cantons ont confié la gestion de ce Bug Bounty à la société romande SCRT.

28 Billion Credential Stuffing Attempts During Second Half of 2018
During the second half of 2018, between May and December 2018, roughly 28 billion credential stuffing attempts have been detected, with retail websites being the main target of credential abuse with 10 billion attempts.

First Hacker Millionaire on HackerOne
At 19, Santiago Lopez is already counting earnings totaling over USD 1 million from reporting security vulnerabilities through vulnerability coordination and bug bounty program HackerOne. He’s the first to make this kind of money on the platform.

Fake news : selon l’UE, Facebook ne lui dit pas tout sur ses efforts
Fake news : les commissaires européens viennent de critiquer Facebook qui ne donnerait pas assez d’informations sur son combat en la matière

iPhone hacking tool Cellebrite being sold on eBay
It is the same iPhone hacking tool that the FBI used to break open the iPhone 5C of Syed Rizwan Farook, the infamous San Bernardino shooter.

B0r0nt0K Ransomware Wants $75,000 Ransom, Infects Linux Servers
A new ransomware called B0r0nt0K is encrypting victim’s web sites and demanding a 20 bitcoin, or approximately $75,000, ransom. This ransomware is known to infect Linux servers, but may also be able to encrypt users running Windows.

LinkedIn Messaging Abused to Target US Companies With Backdoors
A series of malware campaigns that push the More_eggs backdoor via fake jobs offers are targeting employees of US companies which use shopping portals and similar online payment systems.

Popular ‘cryptojacking’ service Coinhive will shut down next week
Coinhive is shutting down. All of the service’s in-browser mining scripts will stop working on March 8th, and users will have until April 30th to withdraw any remaining Monero from their accounts.

Failles / vulnérabilités

Une faille dans les protocoles 4G et 5G permet de localiser les abonnés
En interceptant les notifications techniques émises dans une zone donnée et en appliquant un calcul de probabilité, il est possible de savoir la présence ou non de certains utilisateurs.

ICANN demands DNSSEC combats DNS hijacking
DNS security is under serious threat from cyberattackers and domain overseer ICANN wants internet companies to do something about it.

Samsung refourgue l’antivirus de McAfee… dans ses téléviseurs connectés
A la suite d’un partenariat commercial, les nouveaux téléviseurs sous Tizen 3.0 disposeront d’un antivirus préinstallé et gratuit. Mais malheureusement pas très utile.

Lime n’en n’a pas fini avec les problèmes de sécurité de ses trottinettes électriques
Après la Suisse, c’est au tour de la Nouvelle-Zélande de demander à Lime de retirer ses trottinettes à cause d’un bug de freinage ayant provoqué plusieurs accidents.

Réglementaire / juridique

https://hotforsecurity.bitdefender.com/blog/russian-creator-of-neverquest-banking-trojan-pleads-guilty-in-american-court-20881.html

Former Russian Cybersecurity Chief Sentenced to 22 Years in Prison
A Russian court has handed down lengthy prison terms for two men convicted on treason charges for allegedly sharing information about Russian cybercriminals with U.S. law enforcement officials.

Données personnelles: une enquête ouverte contre Facebook à New York
Le DFS aurait demandé à Facebook de lui fournir les noms des applications lui ayant envoyé les données de leurs utilisateurs lors des trois dernières années.

Divers

https://www.welivesecurity.com/fr/2019/03/01/google-authentification-sans-mot-de-passe-fido2/

Les cantons payeront 13’750 francs par mois pour le logiciel espion de la Confédération
Les coûts du déploiement et de l’utilisation des logiciels de surveillance prévus par la révision de la LSCPT seront partagés par la Confédération et les cantons.

https://www.ssi.gouv.fr/actualite/sparta-un-projet-collaboratif-pour-coordonner-la-recherche-linnovation-et-la-formation-en-matiere-de-cybersecurite-au-sein-de-lunion-europeenne/

Plus de 2200 visiteurs aux Swiss Cyber Security Days à Fribourg
Les Swiss Cyber Security Days ont mis en évidence la menace croissante des cyberattaques

Bientôt un identifiant unique pour accéder à tous les médias en ligne français ?
Dix grands médias français créent un groupement afin de proposer aux internautes un système d’identifiant unique et commun fondé exclusivement sur l’adresse email

💡 Ne manquez plus l'essentiel
Recevez les analyses et tendances cybersécurité directement dans votre boîte mail.

💡 Note : Certaines images ou extraits présents dans cet article proviennent de sources externes citées à des fins d’illustration ou de veille. Ce site est indépendant et à but non lucratif. 👉 En savoir plus sur notre cadre d’utilisation.

Vous appréciez ces analyses ?
Soutenez DCOD en offrant un café ☕

💡 Ne manquez plus l’essentiel

Les derniers articles

Toutes les catégories

Un premier hacker millionnaire grâce aux bug bounties #veille (2 mars 2019)

Vol / perte de données

Cyber-attaques / fraudes

Failles / vulnérabilités

Réglementaire / juridique

Divers

Etiquettes

1 commentaire

Des idées de lecture cybersécurité