🛡️ Vol de données : 150 millions de données d’internautes français sont en vente

[Parisien_entraide]

Des vols de données personnelles il y en a tous les jours, mais je ne mets que ce qui peut toucher en priorité les francophones

Ce vol est assez particulier car Foxit PDF est souvent proposé en alternative à Adobe Reader, donc souvent utilisé

_______________________

Les données utilisateur de Foxit PDF Reader tombent entre les mains de cybercriminels

Les représentants de Foxit Software, un développeur de logiciels, ont confirmé le piratage des comptes enregistrés sur le site officiel. Les attaquants ont réussi à voler les informations des utilisateurs.

Foxit Software est la société à l'origine du développement du programme de lecteur de PDF Foxit pour la lecture de fichiers PDF.

Les cybercriminels ont pu pirater des serveurs Foxit Software. Les développeurs ont immédiatement averti les utilisateurs concernés, leur conseillant de modifier les mots de passe.

2019-09-06_152543.png

Les comptes dans le système Foxit sont utilisés pour gérer la base de clients. C’est là que les utilisateurs peuvent activer la période d’essai, télécharger les produits achetés et accéder à leur historique des achats.

Selon les représentants de Foxit, les cybercriminels ont réussi à obtenir les données suivantes: adresses e-mail, mots de passe, vrais noms, numéros de téléphone, noms de sociétés et adresses IP.

Dans le même temps, il n'est pas clair si la société a stocké les mots de passe sous forme de texte en clair ou a encore utilisé un mécanisme de hachage.

[Parisien_entraide]

Petite mise à jour car il y a eu nombre de vols de données depuis début septembre mais celle ci peut toucher un plus grand nombre

Plus de détails à :

https://www.vpnmentor.com/blog/report-accorhotels-leak/

Autre : http://www.leparisien.fr/high-tech/une- ... 197647.php

________________________________________________________
Une erreur de configuration de serveur de la filiale Gekko d’AccorHotels, en charge de la plateforme de réservation du groupe, a provoqué une fuite massive d’un teraoctet de données de clients.

2019-11-30_093328.png

La database en question appartient à Gekko, la filiale d’Accor qui développe une plateforme de réservation pour les hôtels du groupe.

La base de données contenait plus d’un teraoctet d’informations, appartenant à plus de 130 000 clients : données personnelles, données de réservation, identifiants de connexion, mais aussi données de cartes bancaires.

VPNMentor a aussi trouvé des données provenant de sources externes. Pour cause, les systèmes de Gekko communiquent avec des partenaires externes comme Booking.com. Les informations en provenance de ces tiers sont elles aussi agrégées sur la base de données. (SelecTour, Mondial Assistance, HotelBeds, ...

La majeure partie des données compromises proviennent de la plateforme Teldar Travel mise à disposition des agences de voyage et des professionnels, et d’une base de données appartenant à la centrale hôtelière destinée aux professionnels du groupe Accor : Infinite Hotel.

Interrogé par le Parisien suite à cet incident, le dirigeant de Gekko se veut rassurant. Selon ses dires, les données de carte bancaire exposées sont inutilisables puisqu’elles ne contenaient pas le cryptogramme visuel requis pour payer en ligne.

Sur son blog, VPN Mentor affirme avoir découvert la base de données exposée sur le web le 7 novembre 2019. Cependant, il aura fallu attendre le 13 novembre pour que le groupe Accord Hotel réponde et corrige la faille de sécurité. La CNIL a aussi été contactée pour signaler le problème, conformément au RGPD.

[Parisien_entraide]

WISH

wish.jpg

Le célèbre site de produits à 1 euro, copiés et défectueux ou qui ne correspondent pas aux descriptifs a fait l'objet d'un vol de données

Dans un fichier on y trouve des login et mot de passe (dernière mise à jour de mi janvier 2020)
Dans l'autre, des identités, des adresses postales, des indications sur les méthodes de paiements : CB/Paypal (Il n’y a pas d’informations bancaires), des montants d’achats, des numéros et des liens Wish pour le suivi des commandes …
Pour les francophones :

46 000 adresses électronique en .fr (France) ;
+6 000 Canadiens (.ca) ;
+ de 3 200 Suisses ;
+3 100 Belges (.be)
+ de 600 Luxembourgeois.

________________________________________

Et encore une chaîne d'hôtels piratée via un ransomware

Holiday INN Express (Paris Bastille, Amiens, Charles-de-Gaulle, Lille, Toulon, Clermont, … et 15 autres machines ont été prises en otage)et un hôtel de Luxe Parisien près de la Tour Eiffel

2020-01-14_132614.jpg

Les clients et partenaires sont impactés avec plus de 7 To de données volées
Les pirates ont mis la main sur les informations salariales, financières, ressources humaines, factures … Bilan, les clients, les employés, les partenaires, ..
Dans les données on y trouve des contrat de location, des mails, adresses, la comptabilité (synthèse frais de personnel) ou encore les informations « network » de la réception, ordinateurs portables …
_____________________________________

A noter que chez les Russes un site propose une base de données de 64To avec un moteur de recherche sur les login et mots de passe volés...
_____

Infos source ZATAZ

[Parisien_entraide]

Vous êtes une femme et vous êtes sur TINDER ?

2020-01-20_090051.jpg

70 000 utilisatrices de Tinder se partagent sur les forums et sont déjà la cible de prédateurs sexuels pour 16 000 d'entre elles (du fait des identifiants liés)

Le soucis là c'est qu'il ne s'agit pas d'un vol de données, ou de piratage, car les données sont "probablement" toujours, publiques et librement accessibles à tout utilisateur de Tinder qui est à même donc de les consulter et de les sauvegarder.
Changer son mot de passe n’aura donc aucun effet

Heureusement, aucune donnée n'existe dans cette faille, permettant de relier ces photos à l’identité de leur propriétaire
Tinder n'a pour l'instant pas réagit

[Malekal_morte]

Et aussi une fuite de données dans une société liés à des sites pour adultes.
20 Go de données personnelles dont des modèles de webcam pornos.

Plus de 875 000 fichiers comprenant des données appartenant à plus de 4 000 modèles travaillant sur des sites Web pour adultes ont été exposés dans près de 20 Go de données accessibles au public sur un serveur Amazon situé en Virginie. Les chercheurs en sécurité de vpnMentor ont révélé dans une analyse de la fuite de données que le serveur appartient au réseau d'affiliation pour adultes PussyCash, propriétaire d'ImLive et comptant plus de 66 millions de membres.

« Le propriétaire d'ImLive et PussyCash est officiellement répertorié comme I.M.L. SLU, une société enregistrée en Andorre.

site-porno-fuite-donnees.png

source developpez.com

[Parisien_entraide]

66 millions de membres...(sans jeux de mots :-) pour du webcam porno..

On comprend mieux l'usage des messages alarmistes envoyés et qui en fait doivent fonctionner
viewtopic.php?t=60848

En plus c'était en libre accès sur un site Amazon S3 .

Vive le cloud :-)

Pour le détail :

« PussyCash héberge des programmes d'affiliation pour plusieurs sites pour adultes, payant des webmasters pour le trafic envoyé vers les sites via des bannières et le trafic de sortie. Ils comptent 66 millions de membres enregistrés sur leur arène de chat webcam, ImLive, à eux seuls.
Les autres sites incluent

Sexier.com,
FetishGalaxy,
Supermen.com,
Shemale.com,
CamsCreative.center,
oubliervanilla.com,
idesires.com,
Phonemates.com,
SuperTrip.com
et sex.sex, entre autres.

« Les partenaires répertoriés sur le site Web PussyCash comprennent
BeNaughty,
Xtubet
Pornhub ».

Le pire ce sont les données récupérées, et vus les données ce sont des "actrices, acteurs" (souvent étudiantes/étudiants) qui font cela pour arrondir les fins de mois, dont et comme le précise le site datent de quelques semaines à .. 10 ans
Pour ceux et celles qui sont dans la vie active actuellement, le passé qu'ils et elles voulaient oublier et ont caché peut resurgir...

https://www.developpez.com/actu/290864/ ... -Francais/

[Malekal_morte]

Bouygues s'est fait pirater en Janvier : 200 Go de données sont dans la nature.

[Parisien_entraide]

Plus de 500 000 comptes Zoom vendus sur des sites darkweb

Les cybercriminels vendent plus de 500 000 comptes détenus par les utilisateurs du populaire service de visioconférence Zoom sur les forums de hackers et les sites darkweb.
Dans le même temps, pour chaque compte, les attaquants demandent un montant exclusivement symbolique ou même le donnent gratuitement.

2020-04-15_114231.jpg

Les criminels ont utilisé des bases de fuite de données pour sélectionner des combinaisons de connexion par mot de passe, puis ont collecté les informations d'identification réelles dans une liste qui est maintenant vendue sur les forums de pirates.

Selon les experts de Cyble , les criminels veulent renforcer leur réputation dans l'environnement des pirates, c'est pourquoi ils offrent des données compromises pour presque rien.

L'accès aux comptes d'utilisateurs est transmis via des sites qui vous permettent de partager des données texte. Les attaquants publient des adresses e-mail et leurs mots de passe correspondants sur ces ressources.

Après avoir analysé certaines des données vendues, les experts ont conclu qu'une bonne partie d'entre elles avait déjà figuré dans d'anciennes fuites.

[Parisien_entraide]

https://medium.com/@cyble/267-million-f ... dceebdc170

Il a été détecté la mise en vente dans le Dark Web d’une base contenant les données personnelles de 267 millions d’utilisateurs Facebook.

Pour chaque individu, on y trouve l’adresse e-mail, le nom et prénom, le numéro de téléphone, l’identifiant Facebook, l’âge, la dernière connexion et le statut (actif ou non). Des données particulièrement sensibles comme les mots de passe, en revanche, n’y figurent pas.

2020-04-22_173825.jpg

Cette base était proposée pour 500 euros, une somme que les chercheurs ont promptement déboursée afin de vérifier ces données et, le cas échéant, alimenter leur propre base d’alertes amibreached.com.
À l’instar de haveibeenpwned.com, celle-ci permet de savoir si l’on est affecté par des fuites de données sur la Toile.

Il est difficile de connaître son origine. « Cela résulte peut-être d’une fuite de données d’une API tierce ou d’une collecte par web scraping », estiment les chercheurs, qui recommandent aux utilisateurs Facebook de bien vérifier les réglages de sécurité de leurs comptes.

[Parisien_entraide]

2020-05-03_170353.jpg

Vous inscrit(e)s sur le site ou êtes abonné (e)s au Figaro ?

Mauvais pioche...

Le journal "Le Monde" révèle que 8 téraoctets d'information, soit 7.4 milliards de fichiers, dont (comptabilisés pour l'instant) l'identité complète ou partielle de 42 000 personnes à fuité

La base de données a été totalement exposée au public, sans qu’un mot de passe ne soit requis pour y accéder. L'adresse IP de la base de données suffisait.

Les informations exposées comprenaient les adresses e-mails, les noms complets, les adresses postales, les adresses IP et le jetons d'accès au serveur interne. Certaines des données personnelles exposées appartenaient également aux journalistes et salariés du média.
Les autres données personnelles correspondent à celles fournies par des internautes lecteurs du Figaro au moment d’une inscription ou d’un abonnement au site d’information

Figaro.jpg

Je cite le Monde :

https://www.lemonde.fr/pixels/article/2 ... 08996.html

"Les fichiers contenaient aussi des informations personnelles, noms, adresses postales et courriels, ainsi que des mots de passe, dont certains étaient stockés « en clair », sans protection, et d’autres protégés par un hachage de type MD5 – une protection connue comme peu robuste."

Aucune information bancaire n’était stockée sur le serveur, et aucun élément n’indique à ce stade que ces données ont été aspirées par des acteurs malveillants. Sollicité par Le Monde, Le Figaro n’a pas donné suite à nos demandes d’entretien sur le sujet. Mais après cette prise de contact, l’accès au serveur en question a été fermé, et il n’est aujourd’hui plus accessible, selon les constatations transmises par Safety Detective.

Mise à jour, jeudi 30 avril, 16 h 15 – Dans un communiqué, Le Figaro explique qu’une « erreur de paramétrage », lors de la migration d’un serveur, a « rendu certaines données théoriquement accessibles du 8 au 28 avril ». Le groupe affirme ne pas avoir constaté que des données aient été aspirées et avoir lancé un signalement de l’incident auprès de la Commission nationale informatique et libertés (CNIL), comme le demande la loi. Le Figaro dit enfin avoir mis en place « des process de sécurité supplémentaires afin de s’assurer que ce type d’incident ne se reproduise pas ».

[Parisien_entraide]

2020-05-06_120636.jpg

Je cite :

"le site irlandais Cam4 a malencontreusement laissé traîner 7 To de logs facilement accessibles sur Internet. Le serveur était en opération depuis le 16 mars 2020, date des premiers enregistrements. Parmi les données personnelles que l’on peut trouver dans cet amas de données figurent des noms, des adresses, des pays d’origine, des orientations sexuelles, des adresses IP, des informations sur l'appareil utilisé, des paiements effectués, des messages chat, des mots de passe hachés, des infos sur la correspondance entre l'utilisateur et CAM4 etc.


D’après les chercheurs en sécurité, plus de onze millions d’enregistrements contenaient des adresses e-mail.

Certains enregistrements en contenaient plusieurs.

En répartissant ce chiffre par pays, on obtient 4,1 millions d’enregistrements avec des e-mails d’utilisateurs français. La France arrive ainsi en quatrième position, derrière les États-Unis, le Brésil et l’Italie. Le nombre précis de personnes affectées est toutefois difficile à estimer, mais ces chiffres donnent un ordre de grandeur."

On voit que la France est pas mal impactée (Hein ? Non je ne sais si un certain Benjamin G. figure dans la liste :-)

4,2 millions d’utilisateurs français concernés

Cam4.jpg

[Parisien_entraide]

Source ZATAZ : https://www.zataz.com/a-vendre-1-750-00 ... orange-fr/

2020-05-07_152030.jpg

En vente : 1 750 000 adresses mails de chez Orange.fr à vendre

Un pirate commercialise 35 bases de données ne contenant que des adresses @orange.fr. Il en vend 1 750 000 !
(...)
Chaque base de données est vendue 10 dollars, soit 350 dollars pour 1 750 000 contacts pour des missions malveillantes (0,02$ pièce).

Il n’explique pas sa méthode de collecte. Plusieurs choix possibles : phishing, fusion de plusieurs bases de données provenant de sites piratés, collecte via le web. Pour ce dernier cas, un simple dork Google permet d’extraire des dizaines de milliers d’adresses mails en quelques secondes.

Le risque : Au mieux du spam, mais surtout vous piéger avec du phishing

https://www.malekal.com/le-phishing/

[Parisien_entraide]

Petit gros soucis avec la cagnotte LEECHI


En effet, des utilisateurs, créateurs de cagnotte(s), reçoivent au compte-goutte, ce message inquiétant (il y a 14 millions d'utilisateurs)

En résumé : Les données étaient accessibles depuis la page de la cagnotte, suite à une mise à jour ratée le 16 avrilet réparée le 20 avril

La sté parle d' une erreur technique qui a fait fuité les données personnelles

Les données concernées :

- Nom,prénom,
- Date de naissance,
- E-mail,
- Coordonnées GPS

Les dégâts avec les données habituelles sont celles que l'on voit habituellement (phishing au mieux) mais là le soucis étant avec les coordonnées GPS
qui peuvent permettre de trouver l’adresse et le lieu de travail de la victime, voir ses déplacements.


Néanmoins pour récupérer ces données, il fallait avoir accès à la page précise.de la cagnotte
A ce jour, aucune dépense frauduleuse de cagnotte n’a été détectée.
L’entreprise ajoute que les fonds collectés, les données bancaires et les mots de passe ne sont pas concernés par la fuite.

Actuellement la sté n'a pas communiqué pour savoir si il a été détecté une activité suspecte autour de la fuite.

leetch.jpg

Source : https://cyberguerre.numerama.com/5010-f ... ement.html

[Parisien_entraide]

Source : https://geminiadvisory.io/keeper-mageca ... 570-sites/

Le groupe Magecart «Keeper» infecte 570 sites

2020-07-09_080000.jpg

Jusque là, rien qui ne sorte de l'ordinaire, mais le soucis pour les francophones, c'est qu'il y a quelques sites dont certains bien connus (et pendant que je tapote j'entends une pub pour l'un de ces sites)
Sur tous les sites visités rien n'indique le vol de numéro de carte de crédit, et on ne sait pas si les clients ont été contactés ou pas (à priori non)

Pour résumer :

Si vous avez effectué des achats sur ces sites entre le 1 avril 2017 jusqu'à maintenant, vous avez subi un vol de numéro de carte bancaire

La méthode utilisée est « Magecart », qui consiste à injecter un code JavaScript malveillant capable d'exfiltrer les données de cartes bancaires au moment de l’achat.

Je cite :

----------------------------------------------------
"Gemini a découvert que le groupe Magecart «Keeper», qui se compose d'un réseau interconnecté de 64 domaines d'attaquants et 73 domaines d'exfiltration, a ciblé plus de 570 sites de commerce électronique victimes dans 55 pays différents du 1er avril 2017 à nos jours.
Les domaines d'exfiltration et d'attaque Keeper utilisent des panneaux de connexion identiques et sont liés au même serveur dédié; ce serveur héberge à la fois la charge utile malveillante et les données exfiltrées volées sur les sites des victimes

Plus de 85% des sites victimes opéraient sur le CMS Magento, qui est connu pour être la principale cible des attaques Magecart et compte plus de 250 000 utilisateurs dans le monde. Le pays hébergeant la plus grande sélection de ces sites de commerce électronique victimes était les États-Unis, suivis du Royaume-Uni et des Pays-Bas.

À la mi-2020, les attaques Magecart sont devenues un phénomène quotidien pour les petites et moyennes entreprises de commerce électronique aux États-Unis ainsi que dans le reste du monde.
Fonctionnant sur un système de gestion de contenu (CMS) obsolète, utilisant des modules complémentaires non corrigés ou ayant les informations d'identification des administrateurs compromises par des injections de suite, les commerçants du commerce électronique sont vulnérables à une variété de vecteurs d'attaque différents.
Au cours des six derniers mois, l'équipe Gemini a découvert des milliers d'attaques Magecart allant de la simple injection dynamique de code malveillant à l'aide d'un domaine hébergé de manière criminelle, à l'utilisation des services de stockage Google Cloud ou GitHub et à l'utilisation de la stéganographie pour intégrer du code de vol de cartes de paiement malveillant dans un logos et images du domaine actif.
Les criminels derrière cette menace évoluent constamment et améliorent leurs techniques pour s'attaquer à des victimes sans méfiance qui ne mettent pas l'accent sur la sécurité du domaine.

L'équipe Gemini a nommé ce groupe «Keeper» en raison de son utilisation répétée d'un seul domaine appelé fileskeeper [.] Org pour injecter du code JavaScript (JS) de vol de carte de paiement malveillant dans le code HTML du site Web, ainsi que pour recevoir des données de carte compromises. L'analyse a révélé que le groupe Keeper comprend un réseau interconnecté de 64 domaines d'attaquants utilisés pour fournir des charges utiles JS malveillantes et 73 domaines d'exfiltration utilisés pour recevoir des données de cartes de paiement volées à partir des domaines des victimes. Ce réseau a ciblé plus de 570 sites de commerce électronique victimes dans 55 pays différents à partir du 1er avril 2017 jusqu'à aujourd'hui.
------------------------------------------------------------------------------------------------------

Plus de détails dans cet article :
Shopping Skimmer : vol de données bancaires



Ne pas hésiter à cliquer sur le lien source pour les détails

De ce que j'ai extrait du .pdf https://geminiadvisory.io/wp-content/up ... ix-C-1.pdf

voici les liens des sites en langue française

annika.fr
aupullman.fr
ayuryana.fr
centrale-directe.fr
copat.fr
cyber-confort.fr
dpnature.fr
gouttiere-expert.fr
krea.fr
latelier-descreateurs.fr
maison-et-beauté.fr
mauboussin.fr
mauboussin-sacs.fr
mammafiore.fr
motorcyclefairingsale.fr
tandem-sante.fr
y-elology.fr
yepnature.fr

Le soucis c'est que tout n'est pas en .fr

escales-paris.com
espace-emeraude.com
boutique-artisans-du-monde.com
unamourdetapis.com
goutalparis.com

et certains ont surement des noms en langue US mais avec un contenu .fr donc la liste n'est surement pas complète, sans compter le fait que l'on peut acheter pour diverses raisons sur un site étranger mais qui livre en France.

[Parisien_entraide]

Des identifiants Nord VPN dans la nature

Mais concerne aussi d'autres prestataires VPN ainsi que d'autres services, surtout lorsque le mot les identifiants sont identiques partout

Des équipe de pirates après un vol de base de données, s'amusent à tester les identifiants volés sur des services et sites connus (Netflix, Amazon, Instagram ou en vogue pour ensuite les revendre
Comme derrière il y a un suivi, ceux ci sont testés dans la durée pour savoir si ils sont toujours actifs

Dans l'exemple choisi il y a des francophones (du moins identifiés en tant que tel)

viewtopic.php?f=46&t=66582&p=495601#p495601