En rĂ©ponse Ă une enquĂȘte mĂ©diatique, Facebook a confirmĂ©le fait de fuite. C'Ă©tait comme ça: en 2019, quelqu'un a profitĂ© d'une vulnĂ©rabilitĂ© dans l'outil de recherche d'amis, ce qui soulĂšve lui-mĂȘme des doutes du point de vue de la vie privĂ©e. Cette fonctionnalitĂ© tĂ©lĂ©charge l'annuaire de l'utilisateur sur les serveurs du rĂ©seau social et l'invite Ă ajouter les personnes qu'il a trouvĂ©es Ă ses amis. Comme il s'est avĂ©rĂ© plus tard, l'outil a permis de forcer brutalement l'ensemble de la gamme de numĂ©ros de tĂ©lĂ©phone et de tĂ©lĂ©charger des donnĂ©es sur un grand nombre d'utilisateurs - environ 20% du nombre total de comptes sur le rĂ©seau social.
Dans le mĂȘme 2019, un problĂšme similaire a Ă©tĂ© trouvĂ© dans Telegram: le piratage des numĂ©ros de tĂ©lĂ©phone a permis de dĂ©couvrir le surnom de l'utilisateur et, via la base de donnĂ©es des opĂ©rateurs de tĂ©lĂ©phonie mobile, de lier le compte dans la messagerie Ă une personne rĂ©elle.
Pour des raisons évidentes, les mots de passe n'ont pas fui de Facebook, mais beaucoup de données personnelles sont tombées dans le domaine public: noms, lieu, informations sur l'employeur, sexe, date d'enregistrement. La base de 2019, apparemment, a été vendue sur le marché noir pendant un certain temps, et en janvier de cette année, un robot est apparu sur Telegram qui vend des données par numéro de téléphone. Relativement peu d'adresses e-mail associées à des comptes ont été divulguées: Troy Hunt n'a ajouté que 2,5 millions d'entrées à la base de données de Haveibeenpwned .
Il est peu probable que la fuite Ă elle seule ajoute de nouveaux risques Ă l'utilisateur individuel. Pendant longtemps, une rĂšgle simple a Ă©tĂ© appliquĂ©e aux rĂ©seaux sociaux: si vous leur transfĂ©rez des donnĂ©es, considĂ©rez-les comme publiques, mĂȘme si certains paramĂštres de confidentialitĂ© sont appliquĂ©s.
Cette histoire soulĂšve Ă nouveau le sujet de la sĂ©curitĂ© des numĂ©ros de tĂ©lĂ©phone - c'est un moyen clĂ© d'identifier une personne. Changer un numĂ©ro est encore plus difficile qu'une adresse postale, sa perte est lourde de dommages financiers directs et il existe de nombreuses façons d'intercepter les donnĂ©es transmises par SMS. Il est facile d'imaginer un schĂ©ma d'attaque dans lequel les cybercriminels dĂ©terminent un numĂ©ro d'utilisateur aprĂšs avoir divulguĂ© de telles bases de donnĂ©es, puis, grĂące Ă l'ingĂ©nierie sociale ou Ă la substitution directe d'une carte SIM, ils ont accĂšs Ă un compte bancaire. Il est clair que faire avec cela, bien que ces actions entraĂźnent des difficultĂ©s supplĂ©mentaires. Par exemple, passez Ă d'autres moyens d'authentification Ă deux facteurs ou utilisez des numĂ©ros diffĂ©rents pour vous inscrire aux services publics et pour accĂ©der aux services bancaires. Comme d'habitude, les crevaisons de services tiers qui gĂšrent librement les donnĂ©es des utilisateurs,apporter des problĂšmes aux utilisateurs eux-mĂȘmes.
Que s'est-il passé d'autre
Les périphériques réseau de QNAP ont découvert deux vulnérabilités critiques: le contournement d'autorisation et l'écriture arbitraire de données. Le dernier firmware corrige au moins l'un d'entre eux.
Les spécialistes GitHub étudient une vulnérabilité non standard dans leur propre infrastructure. Les attaquants ont profité de l'outil Actions GitHub, qui automatise les actions lors de l'utilisation du code source. Les possibilités se sont avérées trop larges - jusqu'au lancement des cryptomineurs directement sur les serveurs de l'entreprise.
Les casiers, une attaque informatique d'il y a au moins dix ans, sont devenus moins courants avec le développement de chevaux de Troie ransomwares. Dans une nouvelle étudeLes experts de Kaspersky Lab rappellent que les programmes malveillants qui nécessitent une rançon pour déverrouiller un ordinateur ne sont allés nulle part. Cet article traite des bloqueurs qui fonctionnent strictement dans un navigateur Web.
Une autre étude de Kaspersky Lab décrit une attaque ciblée qui exploite, entre autres, les vulnérabilités du client VPN Pulse Secure. Description
détaillée de la vulnérabilité zéro clic (c'est-à -dire qu'elle ne nécessite aucune action de la part de l'utilisateur) dans le client de messagerie Apple Mail. La vulnérabilité permet de modifier les paramÚtres du client, par exemple, modifier la signature. Le problÚme a été clos en juillet de l'année derniÚre.
En février, nous avons écrit sur une cyberattaque contre des chercheurs en sécurité: ils ont tenté de pirater leurs ordinateurs en utilisant un faux site avec une description des vulnérabilités. Google signale une rechute: des chercheurs ont été attirés vers un site prétendument détenu par un service de test d'intrusion turc contenant un exploit de navigateur. Pour une incitation plus efficace sur les réseaux sociaux, ils ont créé des profils crédibles d'employés de la fausse organisation.
Les propriétaires du dépÎt public de sources PHP fin mars ont annoncé une tentative d'y injecter du code malveillant. Voir aussi la discussion sur Habré .
Une Ă©tude rĂ©cente a analysĂ© la tĂ©lĂ©mĂ©trie ( actualitĂ©s , PDF ) collectĂ©e Ă partir d'appareils iOS et Android. Conclusions des auteurs: les donnĂ©es lĂ -bas et lĂ -bas sont transmises en moyenne toutes les 4,5 minutes. Google OS transfĂšre 20 fois plus de donnĂ©es qu'iOS. La derniĂšre dĂ©claration a Ă©tĂ© contestĂ©e par les dĂ©veloppeurs Android: le fait n'est pas qu'ils collectent moins de donnĂ©es, mais que toute la tĂ©lĂ©mĂ©trie du systĂšme d'exploitation mobile d'Apple ne peut pas ĂȘtre comptĂ©e.
Le paquet npm-Netmask trouvĂ©une erreur grave dans le traitement des adresses IP s'il y a un zĂ©ro au dĂ©but de l'adresse. Dans l'exemple le plus simple, l'adresse 0127.0.0.1 peut ĂȘtre convertie en 87.0.0.1.