La Chine injecte un spyware pour ses visiteurs étrangers et Google censure les vidéos de hacking #veille (7 juillet 2019)

Cette semaine nous montre que la pression des gouvernements sur les données personnelles ne cesse d’augmenter. La dernière démonstration vient de la Chine qui a obligé les visiteurs étrangers d’une région conflictuelle à installer un application qui permettait de surveiller les communications et recherchait des documents bannis par le Gouvernement.

L'essentiel Cybersécurité, IA & Tech

Rejoignez la communauté. 3 fois par semaine, recevez l'analyse des tendances par Marc Barbezat. Pas de spam, juste de l'info.

Ou suivez le flux temps réel

Google s’est également fait remarqué en bannissant les vidéos liées au piratage de YouTube. Le problème est que nombre d’entre elles permettent surtout de mieux se protéger. Cette campagne de nettoyage a même supprimé des tutoriels de cybersécurité qui ont été finalement restaurés entre-temps en raison des réactions négatives provoquées par cette initiative.

Les ransomwares continuent de faire des victimes comme par exemple un service d’ambulance anglais cette semaine ou encore le cas d’une nouvelle ville de Floride qui a versé près de 500’000 dollars pour récupérer ses données. A noter que son CIO a été éjecté dans la foulée.

Et voici toutes actualités intéressantes sélectionnées cette semaine :

Vol / perte de données

Billions of Records Including Passwords Leaked by Smart Home Vendor
A publicly accessible ElasticSearch cluster owned by Orvibo, a Chinese smart home solutions provider, leaked more than two billion user logs containing sensitive data of customers from countries all over the world.

We are shocked to learn oppressive authoritarian surveillance state China injects spyware into foreigners’ smartphones
Border cops accused of loading tourists’ mobiles up with snoop app in Muslim area

Netflix, Ford, TD Bank Data Exposed by Open Amazon S3 Buckets
Israeli-based data integration and big data management Attunity exposed the data of Fortune 100 customers such as Toronto-Dominion Bank (TD Bank), Ford, and Netflix after failing to secure three Amazon S3 buckets it managed.

400GB of hacked files from US border surveillance contractor are available for anyone to download
Stolen CBP data has been distributed via torrent sites, and is now available for anyone to download.

Piratage : des hackers chinois volent les métadonnées de dix opérateurs mobiles
Des chercheurs en sécurité de Cybereason ont découvert qu’un groupe de hackers avait accès aux métadonnées d’une dizaine d’opérateurs mobiles.

Cyber-attaques / fraudes

Another Florida city is making a ransomware payment, worth nearly $500,000 this time
City leaders throughout the U.S. undoubtedly have followed the May ransomware attack in Baltimore

Mise à jour Samsung : 10 millions de personnes piégées par une fausse application
On ne le répétera jamais assez souvent : faites attention aux applications que vous téléchargez sur le Play Store. Essayez toujours de vous renseigner sur

Harmful or dangerous content policies
The safety of our creators, vi

Google censure les vidéos Youtube exposant des » techniques de hacking «
Les chercheurs en sécurité du monde entier vont avoir de belles surprises dans les jours qui viennent. En effet, ces petits salopards de Google sont en train de bannir de YouTube les vidéos qui, je cite : » Expliquent aux gens comment contourner des systèmes informatiques sécurisés » . En gros, tout ce…

Canonical GitHub account hacked, Ubuntu source code safe
Ubuntu source code appears to be safe; however Canonical is investigating.

Le moteur de recherche Yandex piraté par des services de renseignements
Les pays occidentaux développeraient-ils leurs opérations de piratage en riposte de l’espionnage des autorités russes ? Le moteur de recherche russe, Yandex, en aurait fait les frais, victime d’un logiciel malveillant des Five Eyes.

Le Libra de Facebook fait déjà l’objet d’arnaques en ligne
Alors que tous les yeux sont rivés sur la future cryptomonnaie de Facebook, Libra, certains internautes mal-intentionnés ont tenté de profiter de cet engouement pour mettre en place une arnaque pour le moins audacieuse.

Automated Magecart Campaign Hits Over 960 Breached Stores
A large-scale payment card skimming campaign that successfully breached 962 e-commerce stores was discovered today by Magento security research company Sanguine Security.

Over $800,000 Stolen by Scammers in Atlanta Area City BEC Fraud
Over $800,000 were stolen from the City of Griffin, Georgia, by scammers in a BEC (Business Email Compromise) attack by redirecting two transactions to their own bank accounts according to local media sources.

Toyota’s Car-Hacking Tool Now Available
‘PASTA’ hardware and software kit now retails for $28,300.

St John Ambulance service hit by ransomware attack
The UK’s St John Ambulance service says that it was hit by a ransomware attack earlier this week, but if the attackers hoped they might massively disrupt the volunteer first aid service then they’ll be massively disappointed.

Failles / vulnérabilités

Insulin Pumps Recalled By FDA For Cybersecurity Risks
Medtronic makes wearable medical devices for a wide range of medical conditions

Un réseau mondial de serveurs de clés PGP, victime d’un sabotage irrémédiable
Des serveurs de clés de chiffrement ont été la cible d’un » spam » qui rend les clés publiques touchées inutilisables. Cette vulnérabilité, impossible à patcher condamne, par conséquent la technologie employée (SKS).

Réglementaire / juridique

Europol coordinates arrests of six in $28 million crypto scam
Read how Europol coordinated an operation that arrested six in a $28 million cryptocurrency sting.

Hacker who launched DDoS attacks on Sony, EA, and Steam gets 27 months in prison
Six years later, DerpTrolling, the hacker who started all the Christmas DDoS attacks, gets prison time.

Un ancien dirigeant d’Equifax envoyé en prison pour délit d’initié lié à la brèche de sécurité | WeLiveSecurity
Un ancien dirigeant d’Equifax a été condamné à quatre mois d’emprisonnement pour un délit d’initié lié à la très importante brèche de l’entreprise en 2017.

European law enforcement agencies arrested 6 individuals involved in $27M cryptocurrency theft
European law enforcement agencies have arrested 6 individuals in connection with a €24 million ($27.2 million) cryptocurrency heist.

Divers

Une panne informatique paralyse les services de santé aux Pays-Bas pendant 4h
Les pays se relèvent tout juste et considèrent qu’il ont pris une vraie leçon sur sa dépendance à l’égard des nouvelles technologies.

UK ISP group names Mozilla ‘Internet Villain’ for supporting ‘DNS-over-HTTPS’
UK government and local ISPs are putting the pressure on browsers to drop plans to support DoH protocol.

Le gouvernement Trump pourrait interdire le chiffrement de bout en bout
Des discussions sont en cours sur la nécessité d’un projet de loi pour interdire cette forme de sécurité. Mais aucune décision n’a été prise pour l’instant.

Vie privée : Amazon conserve vos échanges vocaux avec Alexa… indéfiniment
Ils ne disparaissent que si les utilisateurs décident de les supprimer manuellement, au travers du site Web d’Amazon.

Expertise Cyber en accès libre.
Pas de paywall, pas d'abonnement caché. Votre soutien permet de maintenir cette gratuité.

☕ Je soutiens DCOD