Le site d'Instagram a laissé fuiter des données pendant des mois

Sécurité : Le site Internet d'Instagram n'était pas étanche. En raison d'une faille, la filiale de Facebook a exposé des numéros de téléphone et des adresses mail pendant des mois, rapporte un chercheur.

Par La rédaction de ZDNet.fr | Modifié le lundi 06 janv. 2020 à 17:34

Libellés

instagram, FB, fuite, vol de donné, vol d'identité, Hackers, facebook,

Selon un chercheur, le site Web d'Instagram a divulgué les coordonnées d'utilisateurs, y compris leurs numéros de téléphone et leurs adresses électroniques, pendant une période d'au moins quatre mois.
Le code source de certains profils d'utilisateurs d'Instagram embarquait les coordonnées du titulaire du compte à chaque chargement dans un navigateur Web, explique David Stier, data scientist et consultant. C'est ce professionnel qui en a informé Instagram peu après avoir découvert le problème.

publicité

Données personnelles visibles dans le code source

Les données de contact n'étaient pas affichées sur le profil du titulaire du compte dans la version desktop du site Web d'Instagram - même si elles étaient utilisées par l'application du site de partage de photos pour la communication.
Les raisons pouvant expliquer comment ces données personnelles ont ainsi été divulguées dans le code source des pages ne sont pas précisées. Cette erreur semble concerner des milliers de comptes, appartenant à des particuliers - dont des mineurs - ainsi qu'à des entreprises et des marques, note Stier.
La divulgation de ces données au travers du code source pourrait permettre à des pirates d'exfiltrer les données du site Web d'Instagram et ainsi d'établir un annuaire téléphonique virtuel comprenant les coordonnées de milliers d'utilisateurs d'Instagram.
Un tel annuaire pourrait bien d'ailleurs avoir été constitué. Lundi, un rapport révélait qu'une société de marketing en Inde avait obtenu les coordonnées de millions de comptes Instagram et les avait stockées dans une base de données non sécurisée.

Fuite depuis au moins octobre 2018

Les moyens employés pour créer cette base de données restent à définir. Un tel fichier constitue quoi qu'il en soit une violation des conditions d'utilisation de l'entreprise, filiale de Facebook, lui aussi concerné par des fuites de données.
Mercredi, Instagram a fait savoir qu'elle enquêtait sur le rapport de Stier. Le service Web a refusé de faire d'autres commentaires. Instagram avait précédemment déclaré enquêter sur la base de données gérée par la société de marketing indienne Chtrbox.
Dans une déclaration, Chtrbox réplique que l'information contenue dans sa base de données n'était pas privée et que celle-ci n'a pas été acquise par des moyens contraires à l'éthique.
Sur la base de l'examen de versions archivées des profils Instagram, Stier signale avoir trouvé des preuves que les numéros de téléphone et les courriels figuraient dans le code source depuis au moins octobre 2018. Il a signalé le problème à Instagram en février. Le bug était corrigé en mars.

 

 

REF.:

A lire aussi :

Instagram : les données d’influenceurs, marques et célébrités fuitent sur la Toile

Une fuite de mots de passe pour plus de 500 000 serveurs, routeurs et dispositifs IoT

Sécurité : La liste a été partagée par l'opérateur d'un service de démarrage DDoS.

Par Catalin Cimpanu | Lundi 20 Janvier 2020

Libellés

IoT, internet des objets, mot de passe, Password, serveurs, routers, fuite, Hackers,

Un hacker a publié cette semaine une longue liste d'identifiants de connexion Telnet pour plus de 515 000 serveurs, routeurs et appareils connectés à l'Internet des objets (IoT). La liste, publiée sur un forum bien connu des hackers, comprend l'adresse IP de chaque appareil, ainsi qu'un nom d'utilisateur et un mot de passe pour le service Telnet, un protocole d'accès à distance qui peut être utilisé pour contrôler les appareils sur Internet.
Selon les experts à qui ZDNet s'est adressé cette semaine, et une déclaration du hacker lui-même, la liste a été compilée en balayant tout Internet à la recherche d'appareils qui exposaient leur port Telnet. Le pirate a ensuite essayé d'utiliser (1) les noms d'utilisateur et mots de passe par défaut (paramètres d'usine), ou (2) des combinaisons de mots de passe personnalisés mais faciles à deviner. Ces types de listes - appelées "bot lists" - sont communes lors d'opérations de "botnet IoT". Les pirates parcourent Internet pour créer des bot lists, puis les utilisent pour se connecter aux périphériques et installer des logiciels malveillants. Elles sont généralement privées, bien que certaines aient fait l'objet de fuites en ligne par le passé, comme une liste de 33 000 références Telnet de routeurs domestiques en août 2017. A notre connaissance, il s'agit de la plus grande fuite de mots de passe Telnet connue à ce jour.

publicité

DDoS et fuite de données

Il semblerait que la liste a été publiée en ligne par le responsable d'un service DDoS-for-hire (DDoS booter). Lorsqu'on lui a demandé pourquoi il avait publié une liste de "bots" aussi massive, il a répondu qu'il avait mis à niveau son service DDoS en passant du travail sur des botnets IoT à un nouveau modèle qui repose sur la location de serveurs à haut rendement auprès de fournisseurs de services cloud.

Les listes qui ont fuitées sont datées d'octobre-novembre 2019. Certains des périphériques fonctionnent maintenant sur une adresse IP différente, et les identifiants de connexion peuvent avoir été modifiés. Impossible de dire si les identifiants sont encore valides, nous n'avons pas pu les tester - ce serait illégal bien entendu. En utilisant des moteurs de recherche IoT comme BinaryEdge ou Shodan, nous avons identifié des périphériques dans le monde entier, certains sur des réseaux domestiques, d'autres sur les réseaux des fournisseurs de services cloud.

Le danger demeure

D'après un expert sécurité IoT souhaitant rester anonyme, même si certaines entrées de la liste ne sont plus valides, ces listes restent très utiles pour un attaquant habile. Les périphériques mal configurés ne sont pas répartis uniformément sur Internet, mais ils sont généralement regroupés sur le réseau d'un seul FAI en raison de la mauvaise configuration des périphériques par le personnel du FAI lors de leur déploiement auprès de leurs clients respectifs. Le pirate peut donc utiliser les adresses IP des listes, déterminer le fournisseur de services, puis ré-analyser le réseau du FAI pour mettre à jour la liste avec les dernières adresses IP.
ZDNet a partagé la liste des identifiants avec des chercheurs en sécurité fiables et approuvés qui se sont portés volontaires pour contacter et avertir les FAI et les propriétaires des serveurs.

Source.: ZDNet.com

Libellés

Hydro-Québec, fuite, vol de donné, vol d'identité, Hackers,

23000 employés de Revenu Québec touchés par une fuite de données

Publié le 07/08/2019


C’est au tour de Revenu Québec d’être aux prises avec une fuite majeure de données personnelles, en l’occurrence celles de ses propres employés, d’anciens employés et de personnes ayant eu des liens contractuels avec le bureau du fisc québécois.
La Sûreté du Québec a annoncé mercredi qu’une femme de 39 ans et un homme de 46 ans de Québec ont été appréhendés mercredi matin relativement à cette fuite de données.
La dame serait une employée de Revenu Québec soupçonnée d’être à l’origine de la fuite et l’homme serait son conjoint. Une perquisition dans une résidence de Québec était en cours mercredi matin en lien avec cette affaire.
Le président-directeur général de Revenu Québec, Carl Gauthier, a informé ses employés mercredi qu’un membre du personnel avait transféré hors des lieux de travail certains renseignements personnels de 23 000 personnes liées à l’agence gouvernementale.
La fuite majeure a cependant été découverte le 25 juillet dernier et signalée aussitôt à la Sûreté du Québec, qui a déclenché une enquête.
« On ne pouvait pas divulguer d’information concernant ce fait avant, compte tenu de l’enquête, mais les actions posées par la Sûreté du Québec (mercredi) nous ont permis d’informer nos employés de la situation », a expliqué la porte-parole de Revenu Québec, Geneviève Laurier.
L’employée en question a été relevée de ses fonctions dès le lendemain de la découverte de la fuite.
Revenu Québec précise que rien n’indique jusqu’ici que les données en question auraient été vendues à des tiers ou utilisées de façon malveillante.
Les renseignements sont ceux d’employés, d’ex-employés et du personnel d’entreprises ayant fait affaire avec Revenu Québec. Il s’agit, dans la quasi-totalité des cas, du nom et du numéro d’assurance sociale des personnes touchées. Dans un nombre très restreint de cas s’ajoutent la date de naissance ou le salaire.
Dans aucun cas, cependant, les informations bancaires des employés touchés n’ont fait l’objet d’une fuite. De même, les renseignements fiscaux des employés n’ont pas été touchés, pas plus que ceux des citoyens québécois : « Les citoyens n’ont aucune crainte à avoir : aucune donnée fiscale, que ce soit de nos employés ou des citoyens, n’a été compromise », assure Geneviève Laurier.
Revenu Québec emploie quelque 12 000 personnes et, bien que l’agence n’ait pas encore terminé le recensement complet des victimes, tout indique qu’elles sont probablement toutes touchées ou presque; c’est donc dire que le nombre d’anciens employés et de sous-traitants ou contractuels ayant fait affaire avec Revenu Québec qui ont aussi été victimes de la fuite se chiffre à environ 11 000 personnes.
Mme Laurier a précisé que toutes les personnes impliquées seront avisées : « Les gens qui sont concernés vont être contactés prochainement, tant les anciens employés que les employés actuels. On va communiquer directement par lettre. »
« On est à dresser la liste des employés et ex-employés touchés pour communiquer avec eux rapidement et les accompagner par la suite et, à la lumière des conclusions de l’enquête, on va prendre les mesures appropriées », a-t-elle expliqué.
Peu de détails entourant l’enquête sont disponibles pour l’instant. On sait cependant que l’employé visé avait légitimement accès à ces données dans l’exercice de ses fonctions et que les informations en question proviennent des bases de données administratives principalement liées aux ressources humaines de Revenu Québec.
Outre la Sûreté du Québec, d’autres instances gouvernementales ont été avisées, notamment la Commission d’accès à l’information.
Revenu Québec a également aménagé un forum pour consultation sur son site internet à revenuquebec.ca/renseignements-personnels.

REF.:

Libellés

microsoft, Hackers, fuite, vol de donné, vol d'identité, hameçonnage,

Fuite chez Microsoft: 250 millions d'échanges de support client exposés

Près de 250 millions de conversations de support client entre employés et clients de Microsoft auraient été exposées sur le web. Contenant plusieurs renseignements sur les utilisateurs des produits Microsoft, ceux-ci pourraient être utilisés pour des fraudes et tentatives d'hameçonnage.

Vous avez déjà rencontré un problème avec un produit Microsoft comme Windows, Outlook, OneDrive ou la suite Office et avez demandé de l’assistance auprès du support client? Vous pourriez avoir de plus importants problèmes à présent.

Si vous avez demandé de l'assistance pour un de ces produits Microsoft, soyez sur vos gardes.

Le consultant en sécurité informatique Bob Diachenko et son équipe chez Comparitech security on effectivement découvert que près de 250 millions d’échanges du support client avaient été exposés sur le web.

Ces données couvrent tous les pays du monde sur une période de 14 ans entre 2005 et 2019 et contiennent en autre:

• Les adresses courriel des utilisateurs
• L’adresse IP
• La localisation
• La description du problème rencontré par les utilisateurs et les cas CSS
• Les numéros de cas, résolutions et remarques
• Les notes internes identifiées comme confidentielles

Alerté par Bob Diachenko, la réponse de Microsoft s’est faite par l’entremise d’Eric Doer, directeur général de Microsoft.

«Nous sommes reconnaissants envers Bob Diachenko d’avoir travaillé en étroite collaboration avec nous afin que nous puissions corriger rapidement cette mauvaise configuration, analyser les données et informer les clients le cas échéant.»

Une fuite qui rehausse les risques d’hameçonnages

Cette fuite majeure a de quoi de rehausser les risques de tentatives d’hameçonnages et d’arnaques.

Après tout, une personne mal intentionnée a tous les outils pour faire du chantage et se faire passer pour un agent de Microsoft.

On peut ainsi s’imaginer recevoir un courriel à l’image de Microsoft où l’on nous dirait grosso modo : « Votre dossier #17364474 concernant X situation n’a pas été résolu correctement. Svp nous contacter à tel numéro de téléphone ou courriel, bla-bla-bla ».

Quand on sait qu’il existe déjà plusieurs courriels d’hameçonnage à l’image de Microsoft et même de faux appels à leur nom, avoir un cas précis de problème que l’on a eu par le passé peut donner davantage de crédibilité à une personne mal intentionnée.

La prudence est donc de mise et dites-vous que Microsoft ne vous contactera jamais de leur plein gré pour vous aider à « résoudre un problème ». C’est nous en tant qu’utilisateur et client qui devons les contacter en premier pour obtenir du support.

Fraude par téléphone : le fraudeur contrôle votre ordi à distance

Mise à jour de Microsoft, un faux courriel pour confirmer son compte

Une arnaque utilise le support de Microsoft et gèle notre navigateur web

REF.:

250 milllions de données de Microsoft ont fuité : quelles conséquences ?

 

 

 

Libellés

Hackers, microsoft, vol de donné, vol d'identité, fuite, failles,

 

 

REF.: François Manens - il y a 4 heures

• Accueil
• 250 milllions de données de Microsoft ont fuité : quelles conséquences ?

250 millions de données liées aux services de Microsoft étaient en accès ouvert pendant un mois. Nous vous expliquons les enjeux de la fuite.

Nouveau problème pour Microsoft : plus tôt dans le mois, elle révélait une faille critique sur Windows 10, sans conséquence pour l’instant, suivi d’une autre sur son navigateur Internet Explorer. Cette fois, des centaines de millions de données relatives à son service client et à l’assistance technique de ses logiciels ont fuité. L’entreprise américaine a depuis résolu le problème et a rendu son enquête interne publique ce mercredi 22 janvier 2020.

C’est la troisième fois depuis le début de l’année que Microsoft est confronté à un problème majeur de cyber-sécurité. // Source : Microsoft

Que s’est-il passé ?

Le 31 décembre, le chercheur en cyber-sécurité Bob Diachenko a découvert la fuite. Avec son équipe de Comparitech, il a immédiatement contacté Microsoft. Dès le lendemain, les équipes de l’entreprise américaine avaient stoppé la fuite. Elles ont ensuite lancé une enquête interne pour évaluer les dégâts qu’auraient pu engendrer la fuite. Les auteurs y précisent que les données sont restées en clair pendant près d’un mois, du 5 au 31 décembre.

Accessible par n’importe qui, depuis un navigateur web

De nombreux chercheurs, indépendants ou rattachés à des entreprises comme Bob Diachenko, scannent le web à la recherche de ce type de fuite. Celle de Microsoft est malheureusement commune et concerne un type de serveur particulier, les ElasticSearch. Ce sont des serveurs très utilisés pour les applications cloud, et donc connectés à Internet. Quand ils sont bien configurés, ces serveurs requièrent un ou plusieurs moyens d’authentification (des mots de passe ou des systèmes plus élaborés) pour autoriser l’accès aux données qu’ils contiennent.
Mais quand la configuration n’a pas été faite correctement, les serveurs restent ouverts à la vue de qui tombera dessus. Toute personne disposant de l’adresse de ces serveurs n’a plus qu’à l’entrer sur un navigateur (comme Chrome ou Firefox) pour accéder à leur contenu. Microsoft précise que c’est une mise à jour du système de sécurité de leurs bases de données qui a reconfiguré les paramètres et exposé les données.

Quelles données étaient exposées ?

Bob Diachenko a trouvé cinq serveurs ElasticSearch, qui contenaient chacun une copie en apparence similaire des 250 millions d’enregistrements. Ces données sont étalées sur 14 ans, de 2005 à décembre 2019, et la fuite touche des clients situés dans le monde entier.

D’après le chercheur, la majorité des données les plus sensibles -comme les adresses emails, les numéros de contrat ou les informations de paiement- étaient tronquées, et n’auraient pas pu être utilisées.
Mais d’autres données étaient parfaitement lisibles. Comparitech en fait la liste : adresses emails des clients, adresses IP, localisation, emails d’agents du service client de Microsoft, numéros de dossier accompagnés de remarques et de leur statut, et enfin des notes internes étiquetées comme confidentielles.

Quels sont les risques si une personne malveillante met la main sur ces données ?

Dans son communiqué, Microsoft indique ne pas avoir identifié d’utilisation malveillante de la fuite. Mais ce type de données peut servir à des arnaqueurs. De façon routinière, les arnaqueurs se font passer pour des représentants de Microsoft auprès des centaines de millions de clients du géant américain. Leurs objectifs : récolter auprès des victimes des informations sensibles, ou prendre contrôle de leurs systèmes via des logiciels de bureaux à distance, couramment utilisés dans les opérations de maintenance.

Plus les arnaqueurs auront de données à disposition (le numéro de dossier d’un problème par exemple), plus leur usurpation d’identité sera convaincante, et plus les victimes baisseront leur garde.
À juste titre, Comparitech rappelle que les services d’assistance technique de Microsoft ne contactent jamais leurs clients en premier. De même, ils ne demanderont jamais ni de communiquer vos mots de passe, ni d’installer des logiciels de bureau à distance.

Suis-je concerné ?

Microsoft affirme qu’il a commencé à contacter les clients concernés par la fuite, qui peuvent être des entreprises comme des personnes. En Europe, il s’agit tout simplement d’une obligation légale, et vous devriez donc être contacté si vos données ont été exposées.
Plus généralement, des outils comme Have I Been Pwned ? permettent de vérifier si vos informations ont fait partie d’une fuite ou de l’exploitation d’une faille, simplement en indiquant votre adresse email.


REF.: