Faits marquants de la semaine
- Le groupe d’extorsion ShinyHunters a compromis l’éditeur Instructure, exploitant une nouvelle vulnérabilité pour défigurer les portails de connexion Canvas de centaines d’universités et établissements d’enseignement supérieur.
- Des chercheurs ont identifié 28 applications frauduleuses sur Google Play, promettant l’accès à l’historique d’appels de n’importe quel numéro, mais forçant en réalité des abonnements payants fournissant de fausses données à plus de 7,3 millions d’utilisateurs.
- Une intrusion sur la plateforme vidéo Vimeo a permis à ShinyHunters de voler les données personnelles de plus de 119 000 personnes, d’après un service de notification de fuites de données.
- Une violation des bases de données du distributeur de mode Zara a exposé les informations de plus de 197 000 clients, selon un service spécialisé dans la notification de compromissions de données.
Les incidents récents dessinent une chaîne d’exposition massive des données personnelles, depuis les attaques d’extorsion ciblant des plateformes structurantes comme Canvas et Vimeo jusqu’aux campagnes d’applications frauduleuses, en passant par les fuites touchant la vente en ligne et les courtiers en données de localisation, avec en toile de fond la compromission d’infrastructures critiques comme les autorités de certification et les services cloud.
L'essentiel Cybersécurité, IA & Tech
Rejoignez la communauté. 3 fois par semaine, recevez l'analyse des tendances par Marc Barbezat. Pas de spam, juste de l'info.
La sélection des 10 actualités à retenir cette semaine
Les portails de connexion de Canvas ont été piratés lors d'une campagne d'extorsion massive menée par ShinyHunters.
Le groupe d'extorsion ShinyHunters a de nouveau infiltré le géant des technologies éducatives Instructure, exploitant cette fois une autre vulnérabilité pour défigurer les portails de connexion Canvas de centaines d'établissements d'enseignement supérieur. […] Lire la suite
Des applications falsifiant l'historique des appels ont volé des paiements à leurs utilisateurs après avoir été téléchargées 7,3 millions de fois sur le Play Store.
Des chercheurs en cybersécurité ont découvert sur le Google Play Store officiel pour Android des applications frauduleuses qui prétendaient faussement offrir l'accès à l'historique des appels de n'importe quel numéro de téléphone, dans le seul but d'inciter… Lire la suite
Fuite de données chez Vimeo : les informations personnelles de 119 000 personnes sont exposées.
Le groupe d'extorsion ShinyHunters a dérobé les informations personnelles de plus de 119 000 personnes après avoir piraté la plateforme vidéo en ligne Vimeo en avril, selon le service de notification des violations de données Have I Been… Lire la suite
La fuite de données chez Zara a exposé les informations personnelles de 197 000 personnes.
Des pirates informatiques ayant accédé aux bases de données du détaillant espagnol de mode Zara ont dérobé les données de plus de 197 000 clients, selon le service de notification des violations de données Have I Been Pwned…. Lire la suite
Des milliers de comptes Facebook volés par des e-mails d'hameçonnage envoyés via Google
Des chercheurs ont mis au jour une vaste opération d'hameçonnage qui exploite les services Google de confiance pour pirater des dizaines de milliers de comptes Facebook. Les comptes Facebook compromis sont principalement des profils d'entreprises et d'annonceurs,… Lire la suite
NVIDIA confirme qu'une fuite de données GeForce a exposé les données personnelles des utilisateurs
GFN Cloud Internet Services, partenaire régional de cloud gaming NVIDIA GeForce NOW (GFN.AM), a confirmé officiellement une importante fuite de données. Cet incident de sécurité a exposé les informations personnelles des utilisateurs inscrits sur sa plateforme de… Lire la suite
DigiCert victime d'une faille de sécurité : des certificats volés ont été utilisés pour signer des logiciels malveillants.
DigiCert a révélé un incident de sécurité au cours duquel des attaquants ont compromis ses systèmes de support internes et exploité des données volées d'émission de certificats pour obtenir des certificats de signature de code EV valides…. Lire la suite
Une fuite du code source de Trellix est revendiquée par les pirates de RansomHouse.
L'attaque contre le dépôt de code source de Trellix, révélée la semaine dernière, a été revendiquée par le groupe de cybercriminels RansomHouse, qui a divulgué un petit nombre d'images comme preuve de l'intrusion. […] Lire la suite
90 000 captures d’écran du téléphone d’une célébrité ont été divulguées en ligne.
Les logiciels espions permettent d'espionner secrètement son/sa partenaire, sa famille ou d'autres personnes en infectant le téléphone de la cible et en collectant discrètement ses SMS, photos, données de géolocalisation et autres informations. Ce type de logiciel… Lire la suite
La FTC va interdire au courtier en données Kochava de vendre les données de géolocalisation des Américains.
La FTC interdira au courtier en données Kochava et à sa filiale, Collective Data Solutions (CDS), de vendre des données de localisation sans le consentement explicite des consommateurs afin de régler les accusations selon lesquelles ils auraient… Lire la suite
Zéro paywall. Zéro pub.
DCOD reste en accès libre grâce à vos contributions. Chaque café compte.
