Les violations de données font partie du mobilier de nos vies numériques. Il se passe à peine un jour sans qu'une autre entreprise divulgue vos données. Et tandis que ces événements deviennent de plus en plus courants, quelque chose d'autre a également changé en 2018.
La mise en œuvre du règlement général sur la protection des données (RGPD) de l'UE signifie que les entreprises s'engagent désormais à divulguer toute violation dans les 72 heures. Il peut être difficile de suivre tous les derniers piratages, nous avons donc rassemblé certaines des violations les plus notables de l'année.
Utilisateurs concernés : 150 millions
Données exposées : Noms d'utilisateur, adresses e-mail et mots de passe hachés
Pour de nombreuses personnes dans le monde, l'application de suivi de régime et d'exercice MyFitnessPal (MFP) est un compagnon quotidien dans leur parcours de remise en forme. Il n'a donc pas été surprenant que la société de vêtements de sport Under Armour ait acquis MFP dans le cadre de son offre numérique. En mars 2018, Under Armour (UA) a publié une déclaration selon laquelle MyFitnessPal avait été compromis, avec les noms d'utilisateur, les adresses e-mail et les mots de passe hachés des 150 millions d'utilisateurs de l'application exposés.
L'entreprise a agi rapidement. Dans les quatre jours suivant la découverte de la violation, MyFitnessPal a envoyé une mise à jour par e-mail à tous les utilisateurs et a créé un site Web de FAQ. Ils ont recommandé que tous les utilisateurs changent immédiatement leurs mots de passe et qu'ils continuent, quelque peu vaguement, "d'apporter des améliorations à [leurs] systèmes pour détecter et empêcher l'accès non autorisé aux informations des utilisateurs".
En surface, il semble qu'Under Armour se débrouille bien avec ses utilisateurs. Cependant, alors que certains mots de passe ont été hachés à l'aide de bcrypt --- un processus pour transformer votre mot de passe en une chaîne de caractères illisible --- d'autres n'ont pas eu autant de chance. Bien qu'ils n'aient pas révélé les chiffres, une partie de la base d'utilisateurs substantielle de MFP n'était protégée qu'avec SHA-1, largement considérée comme la forme de hachage la plus faible.
Bien que la fuite se soit produite au début de l'année, en septembre 2018, il n'y avait eu aucune autre mise à jour sur la cause de la violation ou sur la manière dont UA espère empêcher de futures attaques. La société n'a pas non plus précisé si elle continuerait à utiliser le hachage SHA-1.
Utilisateurs concernés : Inconnu
Données exposées : Données personnelles et financières du client
Alors que l'été touchait à sa fin début septembre, la plus grande compagnie aérienne du Royaume-Uni, British Airways (BA), a déclaré qu'elle enquêtait de toute urgence sur le vol d'informations sur les clients. Sur son site Web d'informations sur les incidents, la société a déclaré que le vol concernait "les clients qui ont effectué des réservations ou des modifications de leurs réservations [...] entre 22h58 BST le 21 août 2018 et 21h45 BST le 5 septembre 2018". Les données volées comprenaient les noms, l'adresse e-mail, l'adresse de facturation et les détails de la carte bancaire.
Si vous étiez parmi les malheureuses victimes de l'attaque, BA a promis que vous n'aurez pas de perte en conséquence directe du vol. Cependant, il convient de noter qu'ils n'ont pas dit ce qu'ils considèrent comme un "résultat direct". Dans les jours qui ont suivi la divulgation, The Register a signalé qu'un script de paiement externe aurait pu être à l'origine de l'attaque. La société de sécurité RiskIQ a déclaré que l'attaque avait probablement été lancée par un groupe connu sous le nom de Magecart, qui était responsable d'une attaque très similaire contre Ticketmaster plus tôt en 2018.
Un peu plus d'un an avant l'attaque, BA était également au centre d'une panne de courant informatique massive. L'échec a provoqué un arrêt brutal des systèmes informatiques de l'entreprise, immobilisant tous les avions et affectant des milliers de passagers. Bien qu'elle ait fait la une des journaux dans le monde entier, BA a peu parlé de la cause de cette panne sans précédent.
Utilisateurs concernés : Inconnu
Données exposées : Données d'enquête, y compris des informations personnellement identifiables
Si vous avez rempli un sondage en ligne au cours des dernières années, vous avez probablement utilisé le site Web de collecte de données Typeform. Leurs sondages sont populaires auprès des entreprises car ils sont faciles à configurer et conviviaux. Les clients de Typeform sont des entreprises, pas des utilisateurs finaux. Ainsi, lorsque l'entreprise a découvert une faille en juin 2018, elle a alerté ses clients.
Le site de réponse aux incidents de Typeform manque de détails et se concentre sur la manière dont les entreprises doivent informer les clients de la divulgation. Tout ce que nous savons de la violation de Typeform, c'est qu'elle est le résultat d'un accès non autorisé à une sauvegarde partielle datée du 3 mai 2018. Bien qu'il ne soit pas clair jusqu'où remontent ces données. Comme Typeform a choisi de ne pas fournir de ventilation détaillée, le nombre total concerné n'est pas clair non plus.
Cependant, la liste des organisations prises dans la brèche est assez longue. Les détaillants britanniques Fortnum &Mason et John Lewis figuraient parmi les personnes touchées, ainsi que la chaîne de boulangerie australienne Bakers Delight. Parmi les autres victimes connues figurent Airtasker, Rencore, PostShift, Revolut, le Middlesex University Student's Union, Monzo, la Tasmanian Electoral Commission, Travelodge et les libéraux démocrates du Royaume-Uni.
Utilisateurs concernés : 340 millions
Données exposées : Tout ce qui est imaginable, moins les numéros de sécurité sociale et de carte de crédit
Dans notre économie moderne, nous échangeons nos données contre des produits et des services en ligne gratuits. Cependant, il existe un mouvement croissant contre ce type de collecte de données. Ils se réfèrent de manière désobligeante à la pratique en tant que capitalisme de surveillance. Ce sentiment est devenu encore plus populaire à la suite du piratage d'Equifax en 2017 et du scandale Cambridge Analytica de Facebook. Vous avez probablement été surpris qu'Equifax recueille des informations détaillées sur vous dans votre dos. Malheureusement, vous ne serez pas trop choqué d'apprendre qu'ils n'étaient pas les seuls.
En juin, le chercheur en sécurité Vinny Troia a utilisé le moteur de recherche informatique Shodan pour découvrir une base de données contenant 340 millions d'enregistrements. La base de données n'a pas été sécurisée sur un serveur accessible au public par la société de marketing Exactis. Alors que les 145,5 millions d'enregistrements du piratage d'Equifax ont reçu une large couverture, la base de données Exactis a éclipsé celle de 340 millions d'enregistrements. Cependant, contrairement aux données agrégées d'Equifax, la base de données Exactis a été trouvée par un chercheur en sécurité. Il n'y a actuellement aucune preuve qu'il y ait eu un accès malveillant.
Exatis est un courtier en données qui commercialise nos informations personnelles --- c'est ainsi qu'il est devenu en possession de près de 214 millions de personnes et de 110 millions de données d'entreprises. Selon WIRED, les dossiers comprenaient "plus de 400 variables sur une vaste gamme de caractéristiques spécifiques :si la personne fume, sa religion, si elle a des chiens ou des chats, et des intérêts aussi variés que la plongée sous-marine et les vêtements de grande taille."
Il y a cependant une doublure argentée ici. Malgré la quantité phénoménale de données identifiables, contrairement à Equifax, ils ne détenaient aucune information financière. Cependant, s'il s'avère qu'un tiers malveillant a accédé à la base de données, il existe de nombreuses possibilités d'ingénierie sociale.
Utilisateurs concernés : 21 millions
Données exposées : Noms, adresses e-mail, dates de naissance, sexe, indicatifs de pays et numéros de téléphone
Notre nostalgie collective des années passées est devenue une grosse affaire. Aucune entreprise n'a été en mesure de capitaliser sur cet amour du passé plus que Timehop. L'application Timehop se connecte à vos réseaux sociaux et refait surface vos anciens messages pour vous rappeler ce que vous faisiez ce jour-là dans le passé. En juillet 2018, Timehop a annoncé avoir interrompu une intrusion sur le réseau le jour de l'Indépendance.
Malgré l'arrêt de l'attaque en un peu plus de deux heures, l'intrus a pu prendre beaucoup de données. Malheureusement, cela comprenait les noms, les adresses e-mail, les dates de naissance, le sexe et, dans certains cas, les numéros de téléphone des 21 millions d'utilisateurs de l'application. Ils ont cependant été en mesure d'empêcher l'attaquant d'accéder aux publications sur les réseaux sociaux et aux messages privés.
L'attaquant a réussi à accéder aux clés OAuth2 stockées, qui permettent d'accéder aux réseaux sociaux connectés d'un utilisateur. Avant de divulguer la faille, Timehop a travaillé avec les réseaux sociaux pour désactiver ces clés, obligeant les utilisateurs à ré-authentifier les comptes connectés.
Contrairement à beaucoup de leurs contemporains, leur site Web sur les incidents était clairement présenté. L'attaque a été expliquée à la fois en termes techniques et simples. Ils ont même fourni un tableau facile à digérer des combinaisons de données consultées et du nombre de personnes touchées. Bien sûr, cela n'apportera que peu de réconfort aux 21 millions de victimes nostalgiques de l'application.
Les services que nous pensions autrefois comme sécurisés sont en train de se défaire rapidement, en partie à cause de leurs mauvaises pratiques de sécurité. Vous pouvez même commencer à vous demander si n'importe où sur Internet est sûr. Surtout compte tenu du nombre de fois où la collecte de données a exposé vos informations personnelles. Si vous craignez que quelque chose ne va pas, vous devriez vérifier si vos comptes en ligne ont été piratés.
La responsabilité de vous protéger incombe aux entreprises concernées. Cependant, il existe des moyens d'améliorer votre cyber-hygiène qui renforceront vos défenses. Les mots de passe sont l'un de nos plus gros maux de tête, mais il y a de bonnes nouvelles. Vous n'aurez peut-être pas à attendre trop longtemps avant que nous commencions à voir des alternatives passionnantes de mots de passe se généraliser.
Crédit image :stevanovicigor/DepositPhotos
