Voici le récapitulatif des plus gros vols ou fuites de données de la semaine passée.
Le résumé de la semaine
Au cours de la semaine écoulée, plusieurs incidents majeurs de cybersécurité ont marqué les actualités, affectant différents secteurs à travers le monde.
Une cyberattaque contre le géant de la grande distribution Carrefour aurait exposé les données personnelles de 13 millions de clients. Les informations compromises incluraient des noms, des adresses e-mail, et des historiques d’achat. Bien que la société n’ait pas confirmé officiellement la fuite, les experts soulignent l’ampleur potentielle de cette violation.
Dans le secteur du tourisme, un serveur non sécurisé contenant des données sensibles de millions de voyageurs, collectées par un grand groupe hôtelier français, a été découvert en ligne. Parmi les données compromises figurent des noms, des détails de réservations et des informations personnelles identifiables. Par ailleurs, une violation de données ciblant Otelier a permis à des cybercriminels d’accéder à près de 8 To de données sensibles en exploitant un bucket AWS S3 non protégé. Les victimes incluent des chaînes hôtelières de premier plan telles que Marriott et Hilton.
Un autre incident notable concerne la North Pole Company, spécialisée dans la livraison de paniers-cadeaux, qui aurait vu les données de plus d’un demi-million d’utilisateurs compromises. L’acteur de la menace, FutureSeeker, aurait publié ces données sur un forum, mais l’entreprise n’a pas encore réagi officiellement.
Dans le domaine technologique, LinkedIn fait face à une action collective alléguant que des messages privés des utilisateurs Premium ont été utilisés pour former des modèles d’intelligence artificielle sans consentement explicite. Cette affaire soulève des questions majeures sur la transparence des pratiques de collecte et d’utilisation des données.
Le Texas a lancé une enquête sur quatre constructeurs automobiles supplémentaires, soupçonnés de collecter et de vendre les données des consommateurs de manière trompeuse. Ce développement fait suite à une poursuite contre General Motors en 2024, illustrant une vigilance accrue concernant la protection des données des conducteurs.
Du côté des grandes entreprises, Hewlett Packard Enterprise a été ciblée par des pirates revendiquant avoir volé des données sensibles, notamment du code source et des certificats. En Inde, le groupe de ransomware BASHE aurait compromis les données clients de la banque ICICI, mettant à risque les informations financières de milliers de personnes.
PayPal a été condamnée à une amende de 2 millions de dollars pour des lacunes en matière de cybersécurité, ayant conduit à l’exposition de données sensibles telles que les numéros de sécurité sociale de certains utilisateurs. Cette affaire met en évidence les conséquences financières et réputationnelles des failles de sécurité.
Dans l’éducation, PowerSchool a été victime d’une violation de données massive impliquant les informations personnelles de plus de 62 millions d’étudiants et 9,5 millions d’enseignants. Bien que la société ait adopté des mesures pour limiter les conséquences, l’incident soulève des préoccupations concernant la sécurité des plateformes éducatives.
Une faille dans le réseau de diffusion de contenu (CDN) de Cloudflare a été identifiée, permettant de révéler la localisation des utilisateurs via des applications de messagerie chiffrées comme Signal et Discord. Ce problème technique met en lumière les limites des infrastructures de cybersécurité existantes.
Enfin, le FBI a averti que des travailleurs informatiques nord-coréens abusent de leur accès pour voler du code source et extorquer des entreprises américaines qui les ont involontairement embauchés. Cet avertissement souligne l’importance d’une vigilance accrue dans le recrutement et la gestion des accès au sein des entreprises.
Les vols ou fuites de données de la semaine
Cyberattaque chez Carrefour : révélations sur une possible fuite de données touchant 13 millions de clients
Le géant de la grande distribution fait face à des allégations de fuite massive de données clients.
Fuite massive : un groupe français expose les données de millions de voyageurs
Un serveur non sécurisé gorgé de données personnelles a été découvert sur la toile. Celui-ci expose les informations sensibles de millions de voyageurs, visiblement recueillies par un grand groupe hôtelier venu de France.
Des millions de réservations de clients d’hôtel divulguées suite à une violation de données d’Otelier
Un acteur de la menace a utilisé un infostealer pour accéder au bucket AWS S3 d’Otelier. L’acteur de la menace a exfiltré près de 8 To de données sensibles. Des réservations, des données personnelles identifiables et bien plus encore ont été volées. Des chaînes hôtelières de premier plan, dont Marriott et Hilton, ont…
La violation de données de la North Pole Company révèle des informations sur un demi-million d’utilisateurs
L’acteur de la menace FutureSeeker publie un nouveau fil de discussion sur BreachForumsIls prétendent avoir volé des données sensibles à The North Pole CompanyL’entreprise de paniers-cadeaux n’a pas encore répondu aux allégations de The North Pole Company, une société canadienne de livraison de paniers-cadeaux…
LinkedIn poursuivi pour avoir prétendument formé des modèles d’IA avec des messages privés sans consentement
Un projet de recours collectif allègue que les messages privés des clients LinkedIn Premium ont été utilisés pour former des modèles d’IA sans consentement approprié.
Le Texas enquête sur quatre autres constructeurs automobiles sur la manière dont ils collectent et vendent les données des consommateurs
Le procureur général du Texas, Ken Paxton, poursuit agressivement les constructeurs automobiles pour leurs pratiques de collecte de données et de vente et a poursuivi en août General Motors pour avoir traité les données des conducteurs de manière « fausse, trompeuse et mensongère ».
Des pirates informatiques dénoncent une violation de sécurité chez Hewlett Packard Enterprise et mettent des données en vente
Le pirate informatique IntelBroker affirme avoir piraté Hewlett Packard Enterprise (HPE), exposant des données sensibles telles que le code source, les certificats et…
Le ransomware BASHE aurait divulgué les données des clients de la banque ICICI
Une cybermenace majeure plane sur le géant financier indien ICICI Bank alors que le célèbre groupe de ransomware BASHE, également connu sous le nom d’Eraleign (APT73), revendique la responsabilité d’une importante violation de données. Le groupe aurait obtenu des informations sensibles sur ses clients et mis en place un plan de sécurité pour les protéger.
PayPal condamné à une amende de 2 millions de dollars pour une faille de cybersécurité exposant les données des utilisateurs
PayPal, Inc. a accepté de payer une pénalité de 2 millions de dollars au Département des services financiers de l’État de New York (DFS) après qu’une enquête a révélé que des défaillances de cybersécurité ont conduit à l’exposition d’informations clients sensibles, notamment des numéros de sécurité sociale (SSN).
Un pirate informatique de PowerSchool affirme avoir volé les données de 62 millions d’étudiants
Le pirate informatique qui a piraté le géant de la technologie éducative PowerSchool a affirmé dans une demande d’extorsion avoir volé les données personnelles de 62,4 millions d’étudiants et de 9,5 millions d’enseignants. […]
Une faille du CDN de Cloudflare divulgue les données de localisation des utilisateurs, même via des applications de chat sécurisées
Un chercheur en sécurité a découvert une faille dans le réseau de diffusion de contenu (CDN) de Cloudflare, qui pourrait révéler l’emplacement général d’une personne en lui envoyant simplement une image sur des plateformes comme Signal et Discord. […]
FBI : des informaticiens nord-coréens volent du code source pour extorquer des employeurs
Le FBI a averti aujourd’hui que les travailleurs informatiques nord-coréens abusent de leur accès pour voler du code source et extorquer des entreprises américaines qui ont été trompées en les embauchant. […]
Comment les victimes de la violation de données de PowerSchool se sont entraidées pour enquêter sur un piratage « massif »
Les employés des écoles disent avoir eu recours à l’entraide participative après la violation de PowerSchool, alimentée par la solidarité et la lenteur de la réponse de PowerSchool. © 2024 TechCrunch. Tous droits réservés. Pour usage personnel uniquement.
Cette fuite de données révèle que 3 000 apps espionnent vos déplacements
La cyberattaque contre Gravy Analytics, géant de la revente de données de localisation, dévoile les secrets de la collecte d’informations en ligne. Selon les dossiers publiés par les cybercriminels, les positions de milliards de smartphones sont espionnées par le biais…
(Re)découvrez la semaine passée:
Les derniers gros vols de données (23 jan 2025)
Découvrez les pertes et vols de données de la semaine du 23 janvier 2025
