Une base de données non sécurisée

OnePlus confirme avoir été victime d'un piratage sur son site. Un script malveillant a été installé afin de récupérer les données bancaires lorsqu'elles étaient saisies (et donc en clair). 40 000 clients sont potentiellement touchés.

À la fin du mois de novembre, le secrétaire d’État chargé du numérique Mounir Mahjoubi demandait directement à Uber de publier plus de détails sur le nombre d’utilisateurs français touchés par l’attaque ont avait été victime en 2016 l’application de VTC. Uber a fini par s’exécuter et a publié vendredi les détails sur cette attaque : dans un post de blog, l’application précise qu’environ 1,4 million d’utilisateurs français ont été affectés par l’attaque. Uber précise néanmoins que ce chiffre n’est qu’une estimation, car les informations collectées par l’application ne permettent pas de connaître avec certitude le lieu de résidence de l’utilisateur.

La plateforme de partage d’images Imgur a été victime d’un piratage en 2014. Celui-ci n’a été découvert que récemment, mais concerne 1,7 million de comptes sur les 150 millions d’utilisateurs du service.

L'entreprise rachetée par PayPal en début d’année a été victime d’un piratage. Les données personnelles de 1,6 million d’utilisateurs nord-américains ont pu être dérobées, mais PayPal entend rassurer ses utilisateurs.

Le très populaire service d’hébergement d’images imgur a annoncé, ce 24 novembre, avoir été alerté sur l’existence d’une importante faille de sécurité, touchant potentiellement les comptes de ses utilisateurs. Selon un message publié par l’entreprise, les comptes de 1,7 million d’utilisateurs ont été touchés par un vol de données personnelles, qui se serait produit en 2014 mais n’a été découvert que ce 23 novembre.

Les données dérobées étaient chiffrées, détaille imgur, mais en utilisant un protocole jugé dépassé aujourd’hui, qui n’offre donc qu’une protection relative aux données. Les utilisateurs qui disposaient d’un compte sur le service en 2014 sont invités à changer leur mot de passe, sur imgur comme sur tous les autres services qui auraient pu utiliser le même mot de passe.

Pas de répit pour Uber. Après de nombreuses crises au cours des derniers mois, le nouveau PDG Dara Khosrowshahi a dû révéler hier que les données de 57 millions d'utilisateurs ont été piratées à travers le monde, fin 2016 - une attaque que le géant des VTC avait cherché à dissimuler.
Ce coup de piratage est le dernier d'une longue série : l'année dernière, Yahoo avait annoncé avoir été victime de piratages d’envergure, concernant la totalité des comptes Yahoo - soit trois milliards - et avec eux les données personnelles des usagers.
Yahoo n'est pas le seul groupe ayant subi un piratage aussi important ces dernières années : en mai 2016, MySpace confirmait le piratage de 427 millions de comptes et LinkedIn annonçait que 117 millions d’utilisateurs étaient concernés par un vol de données survenu en 2012.

Gestion des comptes à privilèges, mise en garde RGPD, réponse inappropriée…Le vol massif de données persos subi par Uber a fait bondir les spécialistes de la sécurité IT.

Avec la nouvelle affaire d’Uber, c’ est la stupéfaction au regard de l’infraction qui a été camouflée pendant un an.

Hier, la société californienne, qui exploite la fameuse app de mise en relation entre chauffeur et passager dans le segment VTC, a reconnu publiquement un vol massif de données personnelles portant sur 57 millions de clients dans le monde et de 600 000 chauffeurs aux Etats-Unis dans une affaire survenue…en 2016.

Yahoo! a revu à la hausse le nombre d’utilisateurs impactés par une cyberattaque en 2013. Mardi 3 octobre, le groupe Internet a fait savoir que l’ensemble des 3 milliards de comptes d’utilisateurs avaient été impactés, et non pas seulement 1 milliard comme initialement annoncé.

Ce n'est finalement pas 1 milliard, mais 3 milliards de comptes d'utilisateurs de Yahoo! qui ont été touchés par le piratage des serveurs de l'entreprise en août 2013. Une épine dans le pied de Verizon, qui cherche à faire toute la lumière sur cette affaire.

Les numéros de cartes de crédit de 209 000 clients américains ont été piratés, selon Equifax, qui se dit prête à collaborer avec les autorités américaines, mais aussi canadiennes et britanniques, dans la mesure où des clients ont également été touchés dans ces deux pays.

L’attaque a été repérée le 29 juillet. Equifax a donc attendu plus d’un mois pour prévenir ses clients. Selon l’agence AP, trois dirigeants d’Equifax ont revendu l’équivalent de 1,8 million de dollars d’actions quatre jours après la découverte du piratage. Le titre a perdu 13 % en bourse après l’annonce faite jeudi. Un communiqué assure que les trois cadres « n’avaient pas connaissance de l’intrusion au moment de la cession de leurs titres ».

[...]

Ce piratage de grande ampleur est loin d’être le premier du genre. Le groupe Yahoo avait annoncé l’an dernier qu’un milliard de comptes avaient été piratés. Le géant de la distribution Target et le site de rencontres Adult Friend Finder ont eux aussi subi une attaque.

Les données de 28 millions d’utilisateurs de Taringa !, un forum très populaire en Amérique latine souvent comparé à Reddit, ont été piratées, a annoncé l’entreprise, confirmant une information du site spécialisé HackerNews. Parmi les données dérobées se trouvent les adresses e-mail et les mots de passe des utilisateurs, qui étaient chiffrés en utilisant l’algorithme MD5, considéré comme très peu robuste.

Le 28 février dernier, le site Troy Hunt, spécialisé en sécurité informatique, révélait un scandale angoissant : les peluches connectées CloudPets ont été la cible de hackers qui ont pu récupérer pas moins de 200 000 enregistrements vocaux et infiltrer 820 000 comptes utilisateurs. Une aubaine pour ces pirates 2.0, qui se sont alors empressés d'effectuer une demande de rançon, auprès de l'entreprise Spiral Toys, dans un premier temps, puis des parents.

Mercredi 1er mars, l’entreprise a fait savoir, dans son rapport annuel à l’autorité américaine des marchés financiers (US Securities and Exchange Commission), que pas moins de 32 millions de comptes avaient été touchés.

En décembre dernier, Yahoo! faisait le point sur les mesures prises suite aux piratages massifs révélés ces derniers mois. La firme évoquait, à cette occasion, la fuite de code propriétaire et le blocage d'éventuels cookies contrefaits. Deux mois plus tard, l'exploitation de cette faille est confirmée : les utilisateurs touchés sont progressivement avertis.