Voici le récapitulatif des plus gros vols ou fuites de données de la semaine passée.
Le résumé de la semaine
Au cours de la semaine passée, plusieurs incidents significatifs ont mis en lumière des vulnérabilités critiques dans le domaine de la cybersécurité.
ZAGG Inc., fabricant d’accessoires électroniques, a informé ses clients d’une fuite de données résultant de la compromission d’une application tierce fournie par BigCommerce. Entre le 26 octobre et le 7 novembre 2024, des acteurs malveillants ont injecté un code visant à extraire les informations de carte de crédit lors du processus de paiement sur le site de ZAGG.
Par ailleurs, des hackers ont publié un second lot de données volées à Cisco, totalisant 4,84 Go, issues d’une ressource DevHub mal configurée et accessible publiquement. Ces données comprennent des artefacts logiciels propriétaires, des configurations réseau et des images de serveurs cloud, exposant potentiellement des informations sensibles de l’entreprise.
De plus, des chercheurs ont découvert que des espaces de travail publics sur la plateforme Postman ont divulgué plus de 30 000 clés API et tokens sensibles. Ces informations, accessibles publiquement, compromettent potentiellement des services tels que GitHub, Slack et Salesforce, mettant en évidence les risques liés à une mauvaise configuration des environnements de développement API.
En Indonésie, une brèche de sécurité a exposé 82 Go de données sensibles provenant du Système d’information de gestion financière régionale (SIPKD). Les informations divulguées incluent des transactions financières, des données fiscales et des informations personnelles d’employés gouvernementaux, soulevant des préoccupations majeures en matière de confidentialité et de sécurité nationale.
Par ailleurs, des données collectées auprès d’environ 800 000 véhicules électriques ont été exposées en ligne en raison d’une mauvaise configuration des applications informatiques de Cariad, la filiale logicielle de Volkswagen. Ces informations comprenaient des données de géolocalisation précises, pouvant être liées aux noms des conducteurs, posant des risques significatifs pour la vie privée des propriétaires de ces véhicules.
En réponse à des manquements en matière de sécurité des données, la Federal Trade Commission (FTC) a ordonné à Marriott International et Starwood Hotels de mettre en place des mesures de sécurité renforcées. Cette décision fait suite à plusieurs violations ayant affecté des millions de clients, soulignant l’importance d’une protection rigoureuse des informations personnelles dans le secteur de l’hôtellerie.
Enfin, l’autorité italienne de protection des données a infligé une amende de 15 millions d’euros à OpenAI pour des violations du Règlement général sur la protection des données (RGPD) liées à ChatGPT. Les infractions concernent le traitement illégal de données personnelles et l’absence de mécanismes de vérification de l’âge, exposant potentiellement des mineurs à des contenus inappropriés.
Les vols ou fuites de données de la semaine
Piratage de l’Agence spatiale européenne : la boutique officielle piratée pour voler les coordonnées des clients
Des chercheurs en sécurité ont découvert un script malveillant sur la boutique en ligne de l’ESA. Le script crée une fausse page Stripe lors du paiement, récupérant ainsi les données de paiement. La boutique est actuellement indisponible.
Des pirates informatiques volent les cartes de crédit des clients de ZAGG lors d’une violation de données d’un tiers.
ZAGG Inc. informe ses clients que leurs données de carte de crédit ont été exposées à des individus non autorisés après que des pirates ont compromis une application tierce fournie par le prestataire de commerce électronique de l’entreprise, BigCommerce. […]
Des pirates informatiques publient une deuxième série de données volées à Cisco.
Des pirates informatiques ont publié ce qu’ils prétendent être le deuxième lot de données volées lors du prétendu incident de données Cisco d’octobre 2024.
Données de 800 000 voitures électriques et de leurs propriétaires exposées en ligne
La société de logiciels automobiles de Volkswagen, Cariad, a exposé des données collectées auprès d’environ 800 000 voitures électriques. Les informations pourraient être associées aux noms des conducteurs et révéler les emplacements précis des véhicules. […]
Violation de données du gouvernement indonésien – Des pirates ont divulgué en ligne 82 Go de données sensibles.
Des pirates informatiques auraient infiltré et extrait une vaste quantité de 82 Go de données sensibles du Système d’Information de Gestion Financière Régionale (Sistem Informasi Pengelolaan Keuangan Daerah, ou SIPKD) du gouvernement indonésien.
Les espaces de travail Postman divulguent 30 000 clés API et jetons sensibles.
Le 23 décembre 2024, l’équipe TRIAD de CloudSEK a identifié des vulnérabilités et des risques de sécurité critiques liés à l’utilisation abusive de Postman Workspaces , une plate-forme populaire de développement et de test d’API basée sur le cloud.
La FTC ordonne à Marriott et Starwood de mettre en place des mesures strictes de sécurité des données.
La Federal Trade Commission (FTC) a ordonné à Marriott International et Starwood Hotels de définir et de mettre en œuvre un solide programme de sécurité des données des clients suite à des défaillances ayant entraîné d’importantes violations de données. […]
L’Italie inflige une amende de 15 millions d’euros à OpenAI pour des violations de la confidentialité des données GDPR de ChatGPT.
L’autorité italienne de protection des données a infligé une amende de 15 millions d’euros (15,66 millions de dollars) à OpenAI, l’entreprise créatrice de ChatGPT, en raison de la manière dont l’application d’intelligence artificielle générative gère les données personnelles.