FRFAM.COM >> Famille >> Technologie &Innovation >> Informatique

Marriott International subit une violation de données record de 500 millions

Il se passe tellement de choses chaque mois dans le monde de la cybersécurité, de la confidentialité en ligne et de la protection des données. C'est difficile de suivre !

Notre résumé mensuel de la sécurité vous aidera à garder un œil sur les nouvelles les plus importantes en matière de sécurité et de confidentialité chaque mois. Voici ce qui s'est passé en novembre.

1. Marriott International subit une violation de données record de 500 m

Comme toujours, l'une des plus grosses actualités sur la sécurité arrive à la fin du mois.

Le mois de novembre s'est terminé avec la révélation par le groupe hôtelier Marriott International d'une énorme violation de données. On pense que jusqu'à 500 millions de dossiers clients sont affectés, car l'attaquant avait accès au réseau de la division Marriott International Starwood depuis 2014.

Marriott International a acquis Starwood en 2016 pour créer la plus grande chaîne hôtelière au monde, avec plus de 5 800 établissements.

La fuite signifie différentes choses pour différents utilisateurs. Cependant, les informations pour chaque utilisateur contiennent une combinaison de :

  • Nom
  • Adresse
  • Numéro de téléphone
  • Adresse e-mail
  • Numéro de passeport
  • Informations sur le compte
  • Date de naissance
  • Sexe
  • Informations d'arrivée et de départ

Le plus important est peut-être la révélation de Marriott selon laquelle certains les enregistrements comprenaient des informations de carte cryptées --- mais ne pouvaient pas non plus exclure que les clés privées avaient également été volées.

En résumé, si vous avez séjourné dans n'importe quel hôtel Marriott Starwood, y compris les propriétés en multipropriété, avant le 10 septembre 2018, vos informations pourraient avoir été compromises.

Marriott International subit une violation de données record de 500 millions

Marriott prend des mesures pour protéger les utilisateurs potentiellement concernés en offrant un abonnement gratuit d'un an à WebWatcher. Les citoyens américains recevront également une consultation gratuite sur la fraude et une couverture de remboursement gratuite. À l'heure actuelle, il existe trois sites d'inscription :

  • États-Unis
  • Canada
  • Royaume-Uni

Sinon, découvrez ces trois façons simples de protéger vos données après une violation majeure.

2. Bibliothèque JavaScript Event-Stream injectée avec un malware voleur de chiffrement

Une bibliothèque JavaScript qui reçoit plus de 2 millions de téléchargements par semaine a été injectée avec un code malveillant conçu pour voler des crypto-monnaies.

Le référentiel Event-Stream, un package JavaScript qui simplifie le travail avec les modules de streaming Node.js, s'est avéré contenir du code obscurci. Lorsque les chercheurs ont désobscurci le code, il est devenu clair que son objectif était le vol de bitcoins.

L'analyse suggère que le code cible les bibliothèques associées au portefeuille Bitcoin Copay pour mobile et ordinateur de bureau. Si le portefeuille Copay est présent sur un système, le code malveillant tente de voler le contenu du portefeuille. Il tente ensuite de se connecter à une adresse IP malaisienne.

Le code malveillant a été chargé dans le référentiel Event-Stream après que le développeur d'origine, Dominic Tarr, a confié le contrôle de la bibliothèque à un autre développeur, right9ctrl.

Right9ctrl a mis en ligne une nouvelle version de la bibliothèque presque dès que le contrôle a été passé, la nouvelle version contenant le code malveillant ciblant les portefeuilles Copay.

Cependant, depuis ce temps, right9ctrl a téléchargé une autre nouvelle version de la bibliothèque --- sans aucun code malveillant. Le nouveau téléchargement coïncide également avec la mise à jour par Copay de ses packages de portefeuilles mobiles et de bureau pour supprimer l'utilisation des bibliothèques JavaScript ciblées par le code malveillant.

3. Amazon subit une violation des données quelques jours avant le Black Friday

Quelques jours à peine avant la plus grande journée de shopping de l'année (à l'exception de la Journée des célibataires en Chine, bien sûr), Amazon a subi une violation de données.

"Nous vous contactons pour vous informer que notre site Web a divulgué par inadvertance votre nom et votre adresse e-mail en raison d'une erreur technique. Le problème a été résolu. Ce n'est pas le résultat de ce que vous avez fait, et il n'est pas nécessaire que vous pour changer votre mot de passe ou effectuer toute autre action."

Il est difficile d'évaluer les détails exacts de la violation car, eh bien, Amazon ne le dit pas. Cependant, les utilisateurs d'Amazon au Royaume-Uni, aux États-Unis, en Corée du Sud et aux Pays-Bas ont tous déclaré avoir reçu un e-mail d'Amazon concernant la violation, il s'agissait donc d'un problème assez mondial.

Les utilisateurs peuvent se consoler en ce sens qu'il s'agissait d'un problème technique d'Amazon à l'origine de la violation de données, plutôt que d'une attaque contre Amazon. La publication des informations ne contient pas non plus d'informations bancaires.

Cependant, le message d'Amazon selon lequel les utilisateurs concernés n'ont pas besoin de changer leur mot de passe est tout simplement faux. Si vous avez été affecté par la violation de données d'Amazon, modifiez le mot de passe de votre compte.

4. Vulnérabilités d'auto-cryptage Samsung et Crucial SSD

Les chercheurs en sécurité ont découvert plusieurs vulnérabilités critiques dans les SSD à chiffrement automatique Samsung et Crucial. L'équipe de recherche a testé trois SSD Crucial et quatre SSD Samsung, trouvant des problèmes critiques avec chaque modèle testé.

Carlo Meijer et Bernard van Gastel, chercheurs en sécurité à l'Université Radboud aux Pays-Bas, ont identifié des vulnérabilités [PDF] dans l'implémentation des disques de la sécurité ATA et TCG Opal, qui sont deux spécifications pour l'implémentation du chiffrement sur les SSD qui utilisent le chiffrement matériel. /P> Marriott International subit une violation de données record de 500 millions

Il existe une variété de problèmes :

  • L'absence de liaison cryptographique entre le mot de passe et la clé de chiffrement des données signifie qu'un attaquant peut déverrouiller des lecteurs en modifiant le processus de validation du mot de passe.
  • Le Crucial MX300 a un mot de passe principal défini par le fabricant --- ce mot de passe est une chaîne vide, par exemple, il n'y en a pas.
  • Récupération des clés de chiffrement des données Samsung grâce à l'exploitation du nivellement d'usure SSD.

De manière déconcertante, les chercheurs ont déclaré que ces vulnérabilités pourraient très bien s'appliquer à d'autres modèles ainsi qu'à différents fabricants de SSD.

Vous vous demandez comment protéger vos disques ? Voici comment vous protégez vos données à l'aide de l'outil de chiffrement open source, VeraCrypt.

5. La campagne Apple Pay Malvertising cible les utilisateurs d'iPhone

Les utilisateurs d'iPhone sont la cible d'une campagne de publicité malveillante en cours impliquant Apple Pay.

La campagne tente de rediriger et d'escroquer les utilisateurs de leurs informations d'identification Apple Pay à l'aide de deux fenêtres contextuelles de phishing, l'attaque provenant d'une série de journaux et de magazines premium lorsqu'ils sont accessibles via iOS.

Le malware, connu sous le nom de PayLeak, envoie les utilisateurs d'iPhone sans méfiance qui cliquent sur l'annonce malveillante vers un domaine enregistré en Chine.

Lorsque l'utilisateur arrive sur le domaine, le logiciel malveillant vérifie une série d'informations d'identification, y compris le mouvement de l'appareil, le type d'appareil (Android ou iPhone) et si le navigateur de l'appareil est Linux x86_64, Win32 ou MacIntel.

De plus, le malware vérifie l'appareil pour toute application antivirus ou antimalware.

Marriott International subit une violation de données record de 500 millions

Si les conditions correctes sont remplies, les utilisateurs d'Android sont redirigés vers un site de phishing qui prétend que l'utilisateur a gagné une carte-cadeau Amazon.

Cependant, les utilisateurs d'iPhone reçoivent deux fenêtres contextuelles. Le premier est une alerte indiquant que l'iPhone doit être mis à jour, tandis que le second informe l'utilisateur que son application Apple Pay doit également être mise à jour. La deuxième alerte partage les informations de la carte de crédit Apple Pay avec un serveur de commande et de contrôle à distance.

6. Un million de montres tracker pour enfants vulnérables

Au moins un million de montres tracker pour enfants avec GPS sont vendues à des parents bourrés de vulnérabilités.

Les recherches de Pen Test Partners ont détaillé une litanie de problèmes de sécurité avec la montre de sécurité pour enfants MiSafe extrêmement populaire. Les montres compatibles GPS sont conçues pour permettre à un parent de suivre l'emplacement de son enfant à tout moment.

Cependant, les chercheurs en sécurité ont découvert que les numéros d'identification des appareils --- et par conséquent, le compte d'utilisateur --- pouvaient être consultés.

L'accès au compte a permis à l'équipe de sécurité de localiser l'enfant, de voir une photo de l'enfant, d'écouter les conversations entre l'enfant et son parent, ou d'appeler ou d'envoyer un message à distance à l'enfant lui-même.

"Nos recherches ont été menées sur des montres de marque "Misafes kids watcher" et semblent affecter jusqu'à 30 000 montres. Cependant, nous avons découvert au moins 53 autres marques de montres tracker pour enfants qui sont affectées par des problèmes de sécurité identiques ou quasi-identiques."

Les vulnérabilités des appareils intelligents destinés aux enfants ne sont pas un problème nouveau. Elle reste cependant préoccupante.

"Alors, comment acheter des jouets intelligents sûrs pour vos enfants ? Vous ne le faites pas", explique Aaron Zander, ingénieur informatique chez Hacker One. "Mais si vous le devez, n'optez pas pour les options les moins chères et essayez de minimiser les fonctionnalités telles que la vidéo, le Wi-Fi et le Bluetooth. De plus, si vous avez un appareil et qu'il présente une faille de sécurité, contactez les représentants de votre gouvernement. , écrivez à vos organes de régulation, faites-en une puanteur, c'est le seul moyen pour que ça s'améliore."

Tour d'horizon des actualités de novembre sur la sécurité

Ce sont six des principales histoires de sécurité de novembre 2018. Mais il s'est passé bien plus de choses; nous n'avons tout simplement pas l'espace pour tout énumérer en détail. Voici cinq autres articles intéressants sur la sécurité qui sont apparus le mois dernier :

  • Le sous-chef japonais de la stratégie de cybersécurité a révélé qu'il n'avait jamais utilisé d'ordinateur.
  • Le logiciel malveillant Stuxnet attaque des installations et des organisations en Iran (à nouveau).
  • Les pirates découvrent des failles zero-day sur les appareils iPhone X, Samsung Galaxy S9 et Xiaomi Mi6.
  • Microsoft corrige un exploit Windows zero-day utilisé dans plusieurs attaques par divers groupes de piratage.
  • Le logiciel espion avancé Pegasus est utilisé pour cibler les journalistes d'investigation au Mexique.

Encore un tourbillon d'actualités sur la cybersécurité. Le monde de la cybersécurité est en constante évolution, et il est difficile de se tenir au courant des dernières failles, logiciels malveillants et problèmes de confidentialité.

C'est pourquoi nous rassemblons chaque mois pour vous les actualités les plus importantes et les plus intéressantes.

Revenez au début du mois prochain --- le début d'une nouvelle année, rien de moins --- pour votre tour d'horizon de la sécurité de décembre 2018. Le mois prochain verra également l'année MakeUseOf 2018 dans le tour d'horizon de la sécurité. En attendant, consultez ces cinq conseils et astuces pour sécuriser vos appareils intelligents.

Crédit image :Karlis Dambrans/Flickr


[]