Failles de données affectées par Amazon et Marriott Hotels, disques SSD vulnérables, Apple Pay et plus encore: c’est l’actualité de la sécurité en novembre.

Marriott International subit une violation de données record sur 500 m

Publicité Il se passe tellement de choses tous les mois dans le monde de la cybersécurité, de la confidentialité en ligne et de la protection des données. C'est difficile à suivre! Notre résumé de sécurité mensuel vous aidera à suivre chaque mois les informations les plus importantes sur la sécurité et la confidentialité. Voici ce qui

Publicité

Il se passe tellement de choses tous les mois dans le monde de la cybersécurité, de la confidentialité en ligne et de la protection des données. C'est difficile à suivre!

Notre résumé de sécurité mensuel vous aidera à suivre chaque mois les informations les plus importantes sur la sécurité et la confidentialité. Voici ce qui s'est passé en novembre.

1. Marriott International subit une violation de données record de 500 m

Comme toujours, l’un des plus gros succès de la sécurité a été enregistré à la fin du mois.

Le mois de novembre s'est terminé avec le groupe hôtelier Marriott International, révélant une énorme violation de données. On pense que 500 millions d’enregistrements de clients sont affectés puisque l’attaquant a accès au réseau de la division Marriott International Starwood depuis 2014.

Marriott International a acquis Starwood en 2016 pour créer la plus grande chaîne d'hôtels au monde, avec plus de 5 800 établissements.

La fuite signifie différentes choses pour différents utilisateurs. Cependant, les informations pour chaque utilisateur contiennent une combinaison de:

  • Nom
  • Adresse
  • Numéro de téléphone
  • Adresse e-mail
  • Numéro de passeport
  • Information sur le compte
  • Date de naissance
  • Le sexe HOMME ou FEMME
  • Informations d'arrivée et de départ

La révélation de Marriott selon laquelle certains enregistrements incluaient des informations de carte cryptées était peut-être plus importante mais ne pouvait pas non plus exclure que les clés privées avaient été volées.

En résumé, si vous avez séjourné dans un hôtel Marriott Starwood, y compris dans un bien à temps partagé, avant le 10 septembre 2018, vos informations pourraient avoir été compromises.

inscription au webwatcher du groupe hôtelier international marriott

Marriott prend des mesures pour protéger les utilisateurs potentiellement concernés en proposant un abonnement gratuit d'un an à WebWatcher. Les citoyens américains recevront également une consultation gratuite contre la fraude et une couverture de remboursement gratuitement. À l'heure actuelle, il existe trois sites d'inscription:

  • États Unis
  • Canada
  • Royaume-Uni

Sinon, consultez ces trois moyens simples de protéger vos données Comment lutter contre les violations de données: 3 façons simples de protéger vos données Comment lutter contre les violations de données: 3 façons simples de protéger vos données Les violations de données ne touchent pas uniquement les cours des actions et les ministères les budgets. Que devriez-vous faire lorsque la nouvelle d'une brèche survient? Lire la suite après une brèche majeure.

2. Bibliothèque JavaScript Event-Stream injectée avec des logiciels malveillants Crypto-Stealing

Une bibliothèque JavaScript qui reçoit plus de 2 millions de téléchargements par semaine a reçu un code malveillant conçu pour voler des crypto-devises.

Le référentiel Event-Stream, un package JavaScript qui simplifie l'utilisation des modules de diffusion en continu Node.js, s'est avéré contenir du code obfusqué. Lorsque les chercheurs ont désobfusqué le code, il est devenu clair que son objectif était le vol de bitcoins.

L'analyse suggère les bibliothèques de codes de cibles associées au portefeuille Copay bitcoin pour mobiles et ordinateurs de bureau. Si le portefeuille Copay est présent sur un système, le code malveillant tente de voler le contenu du portefeuille. Il tente ensuite de se connecter à une adresse IP malaisienne.

Le code malveillant a été chargé dans le référentiel Event-Stream après que le développeur d'origine, Dominic Tarr, eut confié le contrôle de la bibliothèque à un autre développeur, right9ctrl.

Right9ctrl a chargé une nouvelle version de la bibliothèque presque aussitôt que le contrôle a été transféré, la nouvelle version contenant le code malveillant ciblant les portefeuilles Copay.

Cependant, depuis lors, right9ctrl a téléchargé une autre nouvelle version de la bibliothèque, sans code malveillant. Le nouveau téléchargement coïncide également avec la mise à jour par Copay de leurs packages de portefeuille pour portable et ordinateur de bureau afin de supprimer l’utilisation des bibliothèques JavaScript ciblées par le code malveillant.

3. Amazon subit quelques jours de violation de données avant le vendredi noir

Quelques jours seulement avant le plus grand jour de magasinage de l'année (à l'exception bien sûr du Single's Day de la Chine), Amazon a été victime d'une violation de données.

«Nous vous contactons pour vous informer que notre site Web a divulgué par inadvertance votre nom et votre adresse électronique en raison d'une erreur technique. Le problème a été corrigé. Ce n'est pas le résultat de ce que vous avez fait et vous n'avez pas besoin de changer votre mot de passe ni de faire autre chose. "

Il est difficile de jauger les détails exacts de la violation car, eh bien, Amazon ne le dit pas. Cependant, les utilisateurs d'Amazon au Royaume-Uni, aux États-Unis, en Corée du Sud et aux Pays-Bas ont tous indiqué avoir reçu un courrier électronique Amazon concernant la violation, ce qui en faisait un problème assez global.

Les utilisateurs peuvent être réconfortés par le fait qu’il s’agissait d’un problème technique d’Amazon menant à la violation de données, plutôt que d’une attaque sur Amazon. La divulgation d'informations ne contient aucune information bancaire non plus.

Cependant, le message d'Amazon selon lequel les utilisateurs concernés n'ont pas besoin de changer de mot de passe est tout simplement faux. Si vous avez été affecté par la violation de données Amazon, modifiez le mot de passe de votre compte.

4. Vulnérabilités des disques SSD Samsung et Crucial à auto-chiffrement

Les chercheurs en sécurité ont découvert plusieurs vulnérabilités critiques dans les disques SSD à cryptage automatique Samsung et Crucial. L'équipe de recherche a testé trois disques SSD Crucial et quatre disques SSD Samsung, en trouvant des problèmes critiques pour chaque modèle testé.

Carlo Meijer et Bernard van Gastel, chercheurs en sécurité à l'Université Radboud aux Pays-Bas, ont identifié des vulnérabilités [PDF] dans la mise en œuvre de la sécurité ATA et TCG Opal sur les disques, deux spécifications pour la mise en œuvre du cryptage sur des SSD utilisant un cryptage matériel.

auto-chiffrement des vulnérabilités SSD

Il y a une variété de problèmes:

  • L'absence de liaison cryptographique entre le mot de passe et la clé de chiffrement des données signifie qu'un attaquant peut déverrouiller des lecteurs en modifiant le processus de validation du mot de passe.
  • Le Crucial MX300 a un mot de passe principal défini par le fabricant. Ce mot de passe est une chaîne vide. Par exemple, il n'y en a pas.
  • Récupération des clés de cryptage de données Samsung via l’exploitation de la mise à niveau des disques SSD.

De manière déconcertante, les chercheurs ont déclaré que ces vulnérabilités pourraient très bien s’appliquer à d’autres modèles ainsi qu’à différents fabricants de disques SSD.

Vous vous demandez comment protéger vos lecteurs? VeraCrypt Comment chiffrer et protéger vos données et vos fichiers à l'aide de VeraCrypt Comment chiffrer et protéger vos données et vos fichiers à l'aide de VeraCrypt VeraCrypt est un outil de chiffrement gratuit à code ouvert que vous pouvez utiliser. pour chiffrer et protéger vos précieuses données personnelles dans Windows. Lire la suite .

5. La campagne de publicité télévisée Apple Pay cible les utilisateurs d'iPhone

Les utilisateurs d'iPhone sont la cible d'une campagne de publicité malveillante en cours impliquant Apple Pay.

La campagne tente de rediriger et d'arnaquer les utilisateurs de leurs informations d'identification Apple Pay à l'aide de deux fenêtres contextuelles de phishing, l'attaque émanant d'une série de journaux et de magazines premium accessibles via iOS.

Le logiciel malveillant, connu sous le nom de PayLeak, permet aux utilisateurs d’iPhone peu méfiants de cliquer sur l’annonce malveillante vers un domaine enregistré en chinois.

Lorsque l'utilisateur arrive sur le domaine, le logiciel malveillant vérifie une série d'informations d'identification, notamment le mouvement du périphérique, le type de périphérique (Android ou iPhone) et si le navigateur de périphérique est Linux x86_64, Win32 ou MacIntel.

En outre, le programme malveillant recherche sur le terminal toute application antivirus ou antimalware.

Apple Pay faux mise à jour pop-up malware

Si les conditions requises sont remplies, les utilisateurs d'Android sont redirigés vers un site de phishing prétendant avoir remporté une carte-cadeau Amazon.

Toutefois, les utilisateurs d'iPhone reçoivent deux fenêtres contextuelles. Le premier est une alerte que l'iPhone doit être mis à jour, le second informe l'utilisateur que son application Apple Pay doit également être mise à jour. La deuxième alerte partage les informations de carte de crédit Apple Pay avec un serveur de commande et de contrôle distant.

6. Un million de montres Tracker pour enfants vulnérables

Au moins un million de montres de suivi pour enfants activées par GPS sont vendues à des parents bourrés de vulnérabilités.

Les recherches de Pen Test Partners ont permis de mettre au jour une multitude de problèmes de sécurité grâce à la très populaire surveillance de sécurité pour enfants MiSafe. Les montres compatibles GPS sont conçues pour permettre aux parents de suivre la position de leur enfant à tout moment.

Cependant, les chercheurs en sécurité ont découvert que les numéros d'identification de périphérique (et donc le compte d'utilisateur) étaient accessibles.

L'accès au compte a permis à l'équipe de sécurité de localiser l'enfant, d'afficher une photo de l'enfant, d'écouter des conversations entre l'enfant et son parent, ou d'appeler à distance ou d'envoyer un message à l'enfant lui-même.

«Nos recherches ont été menées sur des montres de marque« Misafes Kids Watcher »et semblent affecter jusqu'à 30 000 montres. Cependant, nous avons découvert au moins 53 autres marques de montres pour enfants suivies de problèmes de sécurité identiques ou quasi-identiques. "

Les vulnérabilités dans les dispositifs intelligents destinés aux enfants ne sont pas un nouveau problème. Nouveaux cas de pirates ciblant les jouets connectés prouvent qu'ils demeurent dangereux Nouveaux cas de pirates ciblant les jouets connectés prouvent qu'ils restent dangereux En savoir plus. Cela reste toutefois préoccupant.

«Alors, comment achetez-vous des jouets intelligents sécuritaires pour vos enfants? Ce n'est pas le cas », déclare Aaron Zander, ingénieur en informatique chez Hacker One. «Mais si vous devez, n'utilisez pas les options les moins chères et essayez de minimiser les fonctionnalités telles que la vidéo, le Wi-Fi et le Bluetooth. De plus, si vous avez un appareil et qu'il a un problème de sécurité, contactez les représentants de votre gouvernement, écrivez à vos organismes de réglementation, faites une puanteur à ce sujet, c'est le seul moyen d'améliorer les choses. "

Bilan de la sécurité de novembre

Ce sont six des histoires de sécurité les plus importantes de novembre 2018. Mais beaucoup plus s'est passé; nous n'avons tout simplement pas la place de tout énumérer en détail. Voici cinq autres histoires de sécurité intéressantes qui ont été publiées le mois dernier:

  • Le chef adjoint japonais de la stratégie de cybersécurité a révélé qu'il n'avait jamais utilisé d'ordinateur.
  • Logiciels malveillants de type nation Stuxnet attaque (encore une fois) des installations et des organisations en Iran.
  • Les pirates découvrent des exploits du jour zéro sur les appareils iPhone X, Samsung Galaxy S9 et Xiaomi Mi6.
  • Microsoft corrige un exploit Windows au jour zéro utilisé dans plusieurs attaques par différents groupes de piratage.
  • Le logiciel espion avancé Pegasus est utilisé pour cibler les journalistes d'investigation au Mexique.

Un autre tourbillon de nouvelles sur la cybersécurité. Le monde de la cybersécurité évolue constamment et il est difficile de se tenir au courant des dernières violations, des logiciels malveillants et des problèmes de confidentialité.

C'est pourquoi nous vous proposons chaque mois les nouvelles les plus importantes et les plus intéressantes.

Revenez au début du mois prochain - début de nouvelle année - pour votre bilan de sécurité de décembre 2018. Le mois prochain, nous verrons également le bilan de la sécurité dans MakeUseOf 2018. En attendant, consultez ces cinq conseils et astuces pour sécuriser vos périphériques intelligents. 5 Conseils pour sécuriser vos périphériques intelligents et IoT. 5 Conseils pour sécuriser vos périphériques intelligents et IoT. Le matériel domestique intelligent fait partie de l'Internet des objets. Votre réseau avec ces appareils est-il connecté? Lire la suite .

Crédit d'image: Karlis Dambrans / Flickr

Explorez plus au sujet de: Amazon, Apple Pay, Black Friday, sécurité informatique, crypto-monnaie, malvertising, atteinte à la sécurité, disque SSD, jouets.