Voici le récapitulatif des plus gros vols ou fuites de données de la semaine passée.
Le résumé de la semaine
Plusieurs incidents de sécurité majeurs ont marqué la semaine. Une faille dans l’application Call Filter de Verizon pour iOS a exposé les registres d’appels de millions d’utilisateurs. Cette vulnérabilité, désormais corrigée, permettait d’accéder aux journaux d’appels entrants en utilisant le numéro de téléphone et l’intervalle de temps, sans vérification d’identité. L’application, qui aide à identifier et gérer les appels indésirables, présentait une lacune au niveau de l’API, où le serveur ne vérifiait pas la correspondance entre le numéro de téléphone et l’identifiant utilisateur du jeton d’authentification.
Un autre incident concerne plusieurs applications de rencontre, développées par M.A.D. Mobile. Des chercheurs en cybersécurité ont découvert que des images privées et explicites d’utilisateurs étaient stockées sur des serveurs cloud sans protection par mot de passe. Environ 1,5 million d’images provenant des applications BDSM People, Chica, Pink, Brish et Translove étaient accessibles. Ces images incluaient des photos de profil, des images envoyées en messages directs, des images supprimées par les modérateurs, des photos de publications publiques, des photos de vérification de profil et des photos incluses dans des commentaires. Le développeur a été notifié du problème en janvier, mais n’a pris des mesures correctives qu’en mars.
Par ailleurs, Europcar Mobility Group a subi une violation de ses référentiels GitLab. Un pirate a volé le code source des applications Android et iOS, ainsi que des informations personnelles appartenant à environ 200 000 utilisateurs.
L'essentiel Cybersécurité, IA & Tech
Rejoignez la communauté. 3 fois par semaine, recevez l'analyse des tendances par Marc Barbezat. Pas de spam, juste de l'info.
Samsung a également été victime d’une fuite de données. Environ 270 000 tickets de service client ont été exposés. L’incident remonte à 2021, lorsqu’un logiciel malveillant de type infostealer a infecté l’ordinateur d’un employé de Spectos GmbH, un fournisseur de services informatiques tiers. Les cybercriminels ont exploité des identifiants obsolètes pour accéder aux systèmes de Samsung Germany. Les informations compromises incluent les noms, adresses, adresses e-mail, historique des commandes et communications internes des clients.
Check Point a confirmé une violation de données, mais a minimisé son impact, affirmant qu’il s’agissait de données anciennes et que les affirmations du pirate étaient exagérées.
GitHub a révélé que 39 millions de secrets ont été divulgués sur sa plateforme en 2024. L’entreprise a lancé de nouveaux outils pour aider les développeurs et les organisations à sécuriser les données sensibles dans le code. GitHub Advanced Security propose désormais des modules complémentaires autonomes pour la protection des secrets et la sécurité du code, accessibles aux organisations Team. De plus, GitHub a amélioré la détection des secrets grâce à l’IA et a renforcé la protection contre les fuites.
Apple a été condamné à une amende de 150 millions d’euros par l’Autorité de la concurrence en France. L’organisme de surveillance antitrust a sanctionné Apple pour avoir abusé de sa position dominante sur le marché de la publicité des applications mobiles en utilisant le cadre de confidentialité App Tracking Transparency.
Royal Mail enquête sur des allégations de fuite de données. Un acteur malveillant aurait divulgué plus de 144 Go de données volées aux systèmes de l’entreprise.
Oracle a confirmé à certains clients une violation de données cloud. Des attaquants ont volé d’anciens identifiants clients après avoir compromis un « environnement hérité » utilisé pour la dernière fois en 2017.
Les vols ou fuites de données de la semaine
Une importante violation de données sur une application de rencontre pourrait avoir exposé 1,5 million d’images privées d’utilisateurs en ligne
Cinq applications kink et LGBT ont exposé des images sensibles d’utilisateursLes images ont été stockées sur un serveur sans protection par mot de passeLe développeur des applications a laissé le problème non résolu pendant des moisCinq applications de rencontres ont exposé plus de 1,5 million d’images privées et explicites après…
Check Point confirme la violation, mais affirme qu’il s’agissait de données « anciennes » et que l’escroc avait fait de « fausses » déclarations
L’explication laisse « beaucoup de questions sans réponse », déclare un chercheur en sécurité informatique Un cambrioleur numérique prétend avoir dérobé une mine de données « hautement sensibles » à Check Point – ce que l’entreprise de sécurité américano-israélienne considère comme une énorme exagération.
Une faille dans l’application iOS Call Filter de Verizon a exposé les enregistrements d’appels de millions de personnes
Une faille désormais corrigée dans l’application Filtre d’appels de Verizon sur iOS a exposé des millions d’appels. Aucun abus n’a été constaté. Seuls les numéros de téléphone et les horodatages étaient menacés. Une vulnérabilité désormais corrigée dans Verizon…
Des images intimes provenant d’applications de rencontres kink et LGBTQ+ laissées exposées en ligne
Un chercheur a découvert des millions de photos provenant d’applications de rencontre spécialisées pour iOS, stockées en ligne sans aucun mot de passe. Ces photos, dont certaines sont explicites, proviennent d’applications de rencontre…
Une violation massive de données chez Samsung expose 270 000 enregistrements
L’analyse de la violation de données de Samsung Allemagne a révélé la compromission de nombreuses informations sensibles, notamment les noms, adresses, adresses e-mail, historiques de commandes et communications internes des clients. Ces conclusions figuraient dans…
39 millions de secrets dévoilés : GitHub déploie de nouveaux outils de sécurité
39 millions de secrets divulgués sur GitHub en 2024. GitHub a découvert 39 millions de secrets divulgués en 2024 et a lancé de nouveaux outils pour aider les développeurs et les organisations à sécuriser les données sensibles dans le code. La plateforme d’hébergement de code de Microsoft…
Une faille de sécurité dans le GitLab d’Europcar expose les données de près de 200 000 clients
Un pirate informatique a piraté les dépôts GitLab de la multinationale de location de voitures Europcar Mobility Group et a volé le code source des applications Android et iOS, ainsi que certaines informations personnelles appartenant à près de 200 000 utilisateurs. […]
Apple condamné à une amende de 150 millions d’euros pour des problèmes de transparence du suivi des applications
L’Autorité de la concurrence, l’autorité française de la concurrence, a infligé une amende de 150 millions d’euros (162 millions de dollars) à Apple pour avoir utilisé le cadre de confidentialité App Tracking Transparency pour abuser de sa position dominante sur le marché de la publicité pour applications mobiles sur ses appareils.
Royal Mail enquête sur des allégations de fuite de données, sans impact sur les opérations
Royal Mail enquête sur des allégations de faille de sécurité après qu’un acteur malveillant a divulgué plus de 144 Go de données prétendument volées dans les systèmes de l’entreprise. […]
Oracle confirme en privé à ses clients la violation de son Cloud
Oracle a finalement reconnu auprès de certains clients que des attaquants avaient volé d’anciennes informations d’identification client après avoir piraté un « environnement hérité » utilisé pour la dernière fois en 2017. […]
(Re)découvrez la semaine passée:
Les derniers gros vols de données (3 avr 2025)
Découvrez les pertes et vols de données de la semaine du 3 avril 2025
Serveurs, API, temps de veille...
DCOD est indépendant et sans revenus. Soutenez le site pour l'aider à couvrir ses frais techniques.
