Le site d'Instagram a laissé fuiter des données pendant des mois

Sécurité : Le site Internet d'Instagram n'était pas étanche. En raison d'une faille, la filiale de Facebook a exposé des numéros de téléphone et des adresses mail pendant des mois, rapporte un chercheur.

Par La rédaction de ZDNet.fr | Modifié le lundi 06 janv. 2020 à 17:34

Libellés

instagram, FB, fuite, vol de donné, vol d'identité, Hackers, facebook,

Selon un chercheur, le site Web d'Instagram a divulgué les coordonnées d'utilisateurs, y compris leurs numéros de téléphone et leurs adresses électroniques, pendant une période d'au moins quatre mois.
Le code source de certains profils d'utilisateurs d'Instagram embarquait les coordonnées du titulaire du compte à chaque chargement dans un navigateur Web, explique David Stier, data scientist et consultant. C'est ce professionnel qui en a informé Instagram peu après avoir découvert le problème.

publicité

Données personnelles visibles dans le code source

Les données de contact n'étaient pas affichées sur le profil du titulaire du compte dans la version desktop du site Web d'Instagram - même si elles étaient utilisées par l'application du site de partage de photos pour la communication.
Les raisons pouvant expliquer comment ces données personnelles ont ainsi été divulguées dans le code source des pages ne sont pas précisées. Cette erreur semble concerner des milliers de comptes, appartenant à des particuliers - dont des mineurs - ainsi qu'à des entreprises et des marques, note Stier.
La divulgation de ces données au travers du code source pourrait permettre à des pirates d'exfiltrer les données du site Web d'Instagram et ainsi d'établir un annuaire téléphonique virtuel comprenant les coordonnées de milliers d'utilisateurs d'Instagram.
Un tel annuaire pourrait bien d'ailleurs avoir été constitué. Lundi, un rapport révélait qu'une société de marketing en Inde avait obtenu les coordonnées de millions de comptes Instagram et les avait stockées dans une base de données non sécurisée.

Fuite depuis au moins octobre 2018

Les moyens employés pour créer cette base de données restent à définir. Un tel fichier constitue quoi qu'il en soit une violation des conditions d'utilisation de l'entreprise, filiale de Facebook, lui aussi concerné par des fuites de données.
Mercredi, Instagram a fait savoir qu'elle enquêtait sur le rapport de Stier. Le service Web a refusé de faire d'autres commentaires. Instagram avait précédemment déclaré enquêter sur la base de données gérée par la société de marketing indienne Chtrbox.
Dans une déclaration, Chtrbox réplique que l'information contenue dans sa base de données n'était pas privée et que celle-ci n'a pas été acquise par des moyens contraires à l'éthique.
Sur la base de l'examen de versions archivées des profils Instagram, Stier signale avoir trouvé des preuves que les numéros de téléphone et les courriels figuraient dans le code source depuis au moins octobre 2018. Il a signalé le problème à Instagram en février. Le bug était corrigé en mars.

 

 

REF.:

A lire aussi :

Instagram : les données d’influenceurs, marques et célébrités fuitent sur la Toile

Une fuite de mots de passe pour plus de 500 000 serveurs, routeurs et dispositifs IoT

Sécurité : La liste a été partagée par l'opérateur d'un service de démarrage DDoS.

Par Catalin Cimpanu | Lundi 20 Janvier 2020

Libellés

IoT, internet des objets, mot de passe, Password, serveurs, routers, fuite, Hackers,

Un hacker a publié cette semaine une longue liste d'identifiants de connexion Telnet pour plus de 515 000 serveurs, routeurs et appareils connectés à l'Internet des objets (IoT). La liste, publiée sur un forum bien connu des hackers, comprend l'adresse IP de chaque appareil, ainsi qu'un nom d'utilisateur et un mot de passe pour le service Telnet, un protocole d'accès à distance qui peut être utilisé pour contrôler les appareils sur Internet.
Selon les experts à qui ZDNet s'est adressé cette semaine, et une déclaration du hacker lui-même, la liste a été compilée en balayant tout Internet à la recherche d'appareils qui exposaient leur port Telnet. Le pirate a ensuite essayé d'utiliser (1) les noms d'utilisateur et mots de passe par défaut (paramètres d'usine), ou (2) des combinaisons de mots de passe personnalisés mais faciles à deviner. Ces types de listes - appelées "bot lists" - sont communes lors d'opérations de "botnet IoT". Les pirates parcourent Internet pour créer des bot lists, puis les utilisent pour se connecter aux périphériques et installer des logiciels malveillants. Elles sont généralement privées, bien que certaines aient fait l'objet de fuites en ligne par le passé, comme une liste de 33 000 références Telnet de routeurs domestiques en août 2017. A notre connaissance, il s'agit de la plus grande fuite de mots de passe Telnet connue à ce jour.

publicité

DDoS et fuite de données

Il semblerait que la liste a été publiée en ligne par le responsable d'un service DDoS-for-hire (DDoS booter). Lorsqu'on lui a demandé pourquoi il avait publié une liste de "bots" aussi massive, il a répondu qu'il avait mis à niveau son service DDoS en passant du travail sur des botnets IoT à un nouveau modèle qui repose sur la location de serveurs à haut rendement auprès de fournisseurs de services cloud.

Les listes qui ont fuitées sont datées d'octobre-novembre 2019. Certains des périphériques fonctionnent maintenant sur une adresse IP différente, et les identifiants de connexion peuvent avoir été modifiés. Impossible de dire si les identifiants sont encore valides, nous n'avons pas pu les tester - ce serait illégal bien entendu. En utilisant des moteurs de recherche IoT comme BinaryEdge ou Shodan, nous avons identifié des périphériques dans le monde entier, certains sur des réseaux domestiques, d'autres sur les réseaux des fournisseurs de services cloud.

Le danger demeure

D'après un expert sécurité IoT souhaitant rester anonyme, même si certaines entrées de la liste ne sont plus valides, ces listes restent très utiles pour un attaquant habile. Les périphériques mal configurés ne sont pas répartis uniformément sur Internet, mais ils sont généralement regroupés sur le réseau d'un seul FAI en raison de la mauvaise configuration des périphériques par le personnel du FAI lors de leur déploiement auprès de leurs clients respectifs. Le pirate peut donc utiliser les adresses IP des listes, déterminer le fournisseur de services, puis ré-analyser le réseau du FAI pour mettre à jour la liste avec les dernières adresses IP.
ZDNet a partagé la liste des identifiants avec des chercheurs en sécurité fiables et approuvés qui se sont portés volontaires pour contacter et avertir les FAI et les propriétaires des serveurs.

Source.: ZDNet.com

Le FBI s'empare de WeLeakInfo, un site vendant des identifiants volés

Sécurité : Le site WeLeakInfo a vendu l'accès à plus de 12 milliards d’identifiants d'utilisateurs diffusés suite à des piratages de services en lignes.

Par Catalin Cimpanu

Libellés

FBI, vol d'identité, vol de donné, Hackers, Password, mot de passe,

Les autorités américaines ont saisi cette semaine le domaine de WeLeakInfo.com, un service en ligne qui, depuis trois ans, vendait l'accès à des données piratées sur d'autres sites Web.
Le site Web donnait accès aux mots de passe en texte clair des gens, permettant aux pirates d'acheter un abonnement sur le site et d'accéder à des milliards d'informations d'identification d'utilisateur.
En raison de cette pratique illégale, le site Web s'est forgé une réputation dans les milieux underground du piratage comme une excellente source et un endroit pour effectuer des reconnaissances contre des cibles.

publicité

Comment les pirates ont utilisé WeLeakInfo

Les pirates achetaient un accès au site, puis recherchaient le nom, l'adresse e-mail ou le nom d'utilisateur d'une personne qu'ils voulaient pirater. Le site renvoyait alors des résultats sur toutes les fuites de données où les données de l'utilisateur étaient incluses, y compris les mots de passe en texte clair lorsque ceux-ci étaient disponibles.
Le pirate pouvait récupérer les mots de passe antérieurs et tenter de les utiliser sur les autres profils en ligne d'un utilisateur, en espérant que la cible aurait réutilisé les mots de passe sur d'autres sites.
L’accès au site Web était très bon marché, ce qui le rendait très accessible même aux pirates peu qualifiés disposant de ressources limitées. Pour 2 $ par jour, les pirates pouvaient effectuer des recherches illimitées sur les données d'un utilisateur sur le site.
Avant que le domaine ne soit saisi il y a deux jours, le 15 janvier, WeLeakInfo avait déclaré sur son site Web avoir indexé plus de 12 milliards d’identifiants d'utilisateurs de plus de 10 000 fuites de données.
Le site Web a été supprimé à la suite d'une opération conjointe du FBI et des autorités d'Irlande du Nord, des Pays-Bas, d'Allemagne et du Royaume-Uni.
Hier, dans un communiqué de presse, le ministère américain de la Justice a demandé au public de l'aide et des conseils pour identifier les propriétaires du site Web. Le lendemain, la police néerlandaise a annoncé l’arrestation d’un homme de 22 ans à Arnhem, soupçonné d'exploiter le site.

D'autres sites Web similaires restent fonctionnels

Il s'agit du deuxième site Web de ce type fermé par les autorités américaines. Ils ont précédemment supprimé LeakedSource en février 2017.
Actuellement, il existe au moins trois autres sites Web qui fonctionnent de manière similaire à LeakedSource et WeLeakInfo, en vendant l'accès aux données piratées, y compris les mots de passe en texte clair. On peut ainsi citer Dehashed, Snusbase et Leak-Lookup. Tous les trois sont toujours en ligne, au moment de la rédaction.
Tous ces sites Web ont été créés sur le modèle de Have I Been Pwned, un site Web créé par le chercheur australien en sécurité Troy Hunt. La différence, cependant, est que Have I Been Pwned n'accorde jamais aux utilisateurs l'accès aux mots de passe en texte clair - pas même à leurs propres mots de passe, sans parler des mots de passe d'autres personnes.

Source.: ZDNet.com

Top 20 des jeux vidéo les plus vendus entre 2010 et 2019

Par Bruno Clairet,

Libellés

jeux, console,

NPD Group vient de publier son classement des meilleures ventes de jeux vidéo pour la décennie 2010 – 2019. Sans grande surprise, Rockstar Games avec Grand Theft Auto V se hisse à la première place. On observe également une écrasante domination des FPS avec Call Of Duty qui occupe à lui seul 11 places dans le classement.


Le NPD Group, le spécialiste des études de marché et analyses de données, vient de dévoiler le classement des 20 jeux vidéo les plus vendus durant la dernière décennie toutes plateformes confondues. Le Top 20 2010 – 2019 ne comptabilise que les ventes en boutique et en ligne sur le marché américain. Cependant, on peut supposer que les données européennes ou même françaises donneraient sensiblement le même résultat. À noter également que le classement ne prend pas en compte les ventes dématérialisées de Nintendo, celui-ci refusant de les communiquer.

GTA 4 a disparu de Steam, comment y jouer maintenant ?

Place 2000 – 2009 2010 – 2019 1. Guitar Hero III Legends Of Rock Grand Theft Auto V 2. Wii Fit Call of Duty: Black Ops 3. Rock Band Call of Duty: Black Ops 2 4. Wii Play W/ Remote Call of Duty: Modern Warfare 3 5. Guitar Hero World Tour Call of Duty: Black Ops 3 6. Call of Duty: Modern Warfare 2 Call of Duty: Ghosts 7. Call of Duty 4: Modern Warfare Red Dead Redemption 2 8. Mario Kart Wii Call of Duty: WW2 9. Grand Theft Auto: San Andreas Call of Duty: Black Ops 4 10. Call of Duty: World at War Minecraft 11. Guitar Hero 2 Call of Duty: Advanced Warfare 12. Rock Band 2 Call of Duty: Modern Warfare (2019) 13. Madden NFL 07 The Elder Scrolls V: Skyrim 14. Halo 4 Mortal Kart 8 15. Madden NFL 08 Call of Duty: Infinite Warfare 16. Grand Theft Auto: Vice City Battlefield 1 17. Madden NFL 09 Battlefield 4 18. Halo 2 Destiny 19. Grand Theft Auto V The Legend of Zelda: Breath of the Wild 20. Madden NFL 06 Star Wars: Battlefront

GTA 5 : un mod pour visiter Vice City dans des graphismes modernes

GTA V et Call of Duty sont les plus gros succès de la décennie

Grand Theft Auto V de Rockstar Games est le jeu le plus rentable de tous les temps avec près de 115 millions de copies vendues, et se positionne en toute logique à la première place du classement. 7 ans après sa sortie, le titre occupait encore la onzième place du classement 2018 – 2019. Rockstar Games parvient également à placer un second jeu dans le Top 20 avec Red Dead Redemption II en septième position et plus de 26 millions d’exemplaires vendus. Mais c’est surtout la domination d’Activision Blizzard avec la licence Call of Duty qui marque la décennie. CoD occupe à lui seul la moitié du classement et s’octroie les cinq premières places après GTA V. Le phénomène Minecraft réussit quant à lui à se hisser à la dixième position. Bien que ses ventes dématérialisées ne soient pas prises en compte, Nintendo parvient à placer deux titres en 14e et 19e position avec Mario Kart 8 et The Legend of Zelda: Breath of the Wild.

Top 15 des jeux Switch 2019

Par rapport à la décennie précédente, on note également une baisse de la diversité des genres de jeu les plus populaires. Les jeux de rythme et les simulations sportives ont disparu, ce sont maintenant les FPS qui occupent l’essentiel du classement. On s’attend à ce que la tendance se poursuive pour la prochaine décennie, en particulier si le classement s’adapte au nouveau marché du jeu vidéo. Il pourrait notamment prendre en compte les chiffres d’affaires générés par d’autres modèles économiques que la vente directe comme dans PUBG ou Fortnite.

Assassin’s Creed Ragnarok : une fuite révèle tout sur les versions PS5 et Xbox Series X

Source. : Venture Beat

Libellés

vpn, TOR, anonymat,

PsiPhon : un VPN gratuit et libre

8 janvier 2020 

5 / 5 ( 2 votes )

PsiPhon est un VPN gratuit et libre très simple à installer et utiliser.
Il permet de cacher son adresse IP mais aussi de masquer ses activités sur internet.

PsiPhon a l’avantage de fonctionner sans inscription.
Ainsi aucun compte utilisateur n’est à créer.
Cet article vous explique comment installer et utiliser PsiPhon pour Windows.

Table des matières [masquer]

• 1 Qu’est-ce que le VPN PsiPhon ?
• 2 Journal du VPN PsiPhon et confidentialité
• 3 Installer et utiliser le VPN PsiPhon
  • 3.1 Le VPN et les pays de connexion
• 4 Les options de PsiPhon
• 5 Conclusion

Qu’est-ce que le VPN PsiPhon ?

C’est un projet libre né à 2004 dans une Université à Toroton au Canada.
Le but étant de proposer un système afin de contourner la censure sur internet.
Depuis il est édité par une société Canadienne.
Il propose un service VPN gratuits avec des serveurs répartis dans le monde.
La solution fonctionne sur Windows, Linux, IOS et Android.
Pour rappel, il existe un article complet sur les VPN :

PsiPhon fonctionne sans inscription.
Vous n’avez aucun compte utilisateur à créer.

Journal du VPN PsiPhon et confidentialité

Quelques rappels concernant les VPN.
Lorsque vous utilisez un VPN, votre trafic internet est redirigé vers ce dernier.
Ainsi, ce dernier peut aussi voir vos activités.

Utiliser un VPN revient à déporter la problématique de confidentialité de votre FAI vers le service VPN.
Ces aspects sont abordés sur la page suivante : VPN et anonymisation : les limites.

Le site de PsiPhon possède une page avec les conditions de confidentialité assez claires.
Il explique que le service récupère certaines données comme :

• L’activité des utilisateurs comme les sites visités et la quantité de données
• L’adresse IP de l’utilisateur
• Le pays et le FAI utilisé

Rien de vraiment nouveau, ce sont des données habituelles recueillies par les services VPN.
Enfin la société indique ne pas partager ses données.
Ils les agrègent à des fins statistiques pour améliorer le service.

Installer et utiliser le VPN PsiPhon

L’installation et l’utilisation de PsiPhon est très simple.
Vous pouvez télécharger l’application depuis ce lien : Télécharger le client VPN PsiPhon
Une fois démarré, on arrive sur la page suivante avec le client PsiPhon.
Celle-ci vous indique que vous n’êtes pas connecté.

En bas, on choisit le Pays où se connecter.

Puis on lance la connexion sur le pays désiré.
Ce s’établit assez rapidement.
Ci-dessous, on voit bien que l’adresse IP est masquée et changée.
Par contre, il semble y avoir un leak des serveurs DNS.
Cela permet d’établir votre emplacement géographique réelle.

Le VPN et les pays de connexion

Le service VPN Psiphon supporte beaucoup de pays différents.
Voici la liste.

Cela permet de se connecter dans les pays les plus importants du monde.
Cela peut s’avérer pratique si vous êtes à l’étranger et que certaines services internet sont bloqués comme un site de streaming.
Toutefois, il est aisé de le bloquer.
Par exemple le site de streaming de M6 bloque PsiPhon.
Pour plus de détails, vous pouvez lire cet article : VPN bloqué sur streaming : comment le débloquer ?

Les options de PsiPhon

Enfin les paramètres et options du VPN PsiPhon.
De ce côté là, on trouve les options habituelles liées au mode de connexion.
Vous pouvez configurer un proxy ou socks.
On trouve aussi le type de transport (L2TP, etc).
Enfin deux options intéressante :

• Tunnel scindé : Les sites de votre pays ne passe pas par le VPN. Interressant lorsqu’un service est bloqué.
• Désactiver les réseaux lents : Le VPN ne fonctionne pas pour sur les réseaux lents.

Conclusion

PsiPhon reste un VPN très sommaire mais gratuit.
On peut donc l’utiliser dans certains cas précis.
Le client n’est pas aussi aboutit que certains VPN Commerciaux.
Il manque beaucoup options comparés à CyberGhost ou NordVPN (Kill Switch, filtrage des trackers, etc).
Si vous cherchez des VPN gratuits, suivre notre guide :

• Free OpenVPN : connecter à des VPN gratuits
• Liste et comparatif des VPN gratuits ou payants

Enfin rappelons que pour l’anonymat, confidentialité, il y a aussi la solution TOR : Tutoriel Tor : fonctionnement et anonymisation

REF.: