🛡️ Vol de données : 150 millions de données d’internautes français sont en vente

L'actualité & News Informatique!
Donc pas de demande d'aide dans cette partie.
Avatar de l’utilisateur
Parisien_entraide
Messages : 20289
Inscription : 02 juin 2012 20:48
Localisation : Thomas Anderson : Je suis dans et en dehors de la matrice :-)

Vol de donneés : EA Electronic ARTS

par Parisien_entraide »

2021-06-11_113537.png


La news qui va faire le buzz, parce qu'elle tombe presque en meme temps que les infos de sortie du prochain Battlefield, c'est

Le vol de données chez EA (Electronic Arts)


- des codes sources de FIFA 21
- du moteur de jeu Frostbite (source et outils de débuggage)
- d'autres divers outils de débuggage, de développement dont les frameworks EA propriétaires pour divers jeux EA , clés API
- des kits de développement logiciel (SDK) et clés API, dont ceux de la XBOS et SONY
- le code du serveur de matchmaking de FIFA21
- XBOX, PS (Sony) & EA pfx & crt avec clé (actuellement utilisé)


EA ne donne pas trop de détails, mais il y aurait d'après eux PAS eu de vol de données concernant les joueurs (dont FR)
Dans ce qui est proposé à la vente en tous les cas cela n'apparait pas, mais vu la somme demandée cela va finir à la vente à la découpe d ici quelques temps et on en saura plus

Des comptes ORIGIN on en trouve, mais ce n'est pas le fait de failles ou vol de données chez EA (Origin), mais plutôt du fait de la faute de joueurs qui utilisent des hacks/Cracks, cheats, mais aussi qui utilisent les memes login et mot de passe pour divers sites, réseaux sociaux etc
En moyenne au niveau mondial cela tourne en gros à moins d'une centaine par mois
On trouve beaucoup plus de comptes Steam, ou de jeux spécifiques (Call Of Duty en tête) en circulation

Cependant les voleurs ont indiqué avoir volé également "les clients du jeu EA et les points utilisés comme monnaie dans le jeu. "
On ne sait si ils parlent du jeu FIFA21 (le plus probable) ou des autres jeux

EA a déclaré : "Aucune donnée de joueur n'a été consultée, et nous n'avons aucune raison de croire qu'il existe un risque pour la vie privée des joueurs. Suite à l'incident, nous avons déjà apporté des améliorations en matière de sécurité et ne nous attendons pas à un impact sur nos jeux ou nos activités. Nous travaillons activement avec des responsables de l'application des lois et d'autres experts dans le cadre de cette enquête criminelle en cours. "


EA se veut rassurant sur le vol en indiquant que "rien ne semble prouver qu'ils ont réellement partagé ou vendu les données volées"


Et complète avec un "Il ne s'agit pas d'une attaque de ransomware, une quantité limitée de code et d'outils associés ont été volés, et nous ne nous attendons à aucun impact sur nos jeux ou notre entreprise".


Ca c'est pour rassurer parce qu'en fait depuis le 6 juin les 780Go de données sont en vente et le Frosbite figure dans de nombreux jeux, que du reste EA impose à ses studios ou tiers pour développer des jeux


Le vol est estimé à 28 millions de dollars (du moins c'est qu'espère en tirer les voleurs)

Ce qui est paradoxal c'est que les données du serveur sur lequel cela a été volé, n'ont pas été cryptées et... sont toujours accessibles (sic un commentaire de forum)

En plus le vol daterait du mois de mai 2021 et non pas en juin

Extrait du forum Kickass
1-33.jpg


Espérons que cela ne va pas déboucher sur l'apparition de nouveaux programmes de cheats qui sont le gros soucis sur les Battelfield, et pour lesquels EA ne fait rien si ce n'est que des promesses à chaque sortie de jeu (d'autant plus que ces cheats se basent sur des failles du frosbite qui existent depuis les premières versions)

Analysé par Kaspersky

FIFA 21 est une cible très intéressante pour les cybercriminels, car ce jeu possède sa propre monnaie virtuelle très recherchée.
En 2015, le FBI américain a réussi à arrêter un groupe qui aurait extrait et vendu cette monnaie virtuelle pour un montant de 15 à 18 millions USD. Elle a réussi en raison des vulnérabilités que ce jeu contenait.

Le code source vous permet de pénétrer facilement toutes les fonctions du jeu et des serveurs de jeu, d'étudier la logique du jeu, les algorithmes secrets et la technologie anti-triche.
Ces connaissances peuvent ensuite être utilisées pour rechercher des vulnérabilités, créer des codes de triche et vous enrichir en exploitant et en vendant des devises dans le jeu en contournant les règles définies par le développeur du jeu.
L'analyse de la fonctionnalité du côté client du jeu est également possible en utilisant la rétro-ingénierie, mais elle est très difficile et laborieuse. En revanche, l'accès au code source facilite la lecture du code du jeu comme un livre ouvert.


Extrait d'un forum en libre accès qui a servi de base pour la news
2021-06-11_112218.png



Edit du 14/06/2021

Vu que l'info est passé dans les sources ouvertes, mais sans citer les détails, je vais faire de même
Tout ce que je peux dire c'est que ce qui est relaté ici est vrai et que ce qui est asséné en sécurité informatique :

"Les gens sont généralement le maillon le plus faible de la chaîne de sécurité. " est souvent la cause première des vols de données


"Selon des sources, le point de départ de la violation pourrait se trouver dans un compte Slack compromis, utilisé plus tard par des acteurs malveillants pour cibler d'autres segments de l'infrastructure réseau d'EA Games à l'aide de l'ingénierie sociale.



Sur un autre site (le lien a été mise à jour avec d'autres détails) :
https://www.vice.com/en/article/7kvkqb/ ... cked-slack

"un canal Slack utilisé par les employés d’EA. Puis en contactant un membre du support en mode : « nous avons perdu notre téléphone lors d'une fête hier soir », afin d'obtenir un jeton d'authentification multifacteur pour accéder à l'intranet d'EA.


A la base pour ce vol, ils ont juste acheté des cookies pour.... 10 $

"Les cookies peuvent enregistrer les informations de connexion d'utilisateurs particuliers et potentiellement permettre aux pirates de se connecter aux services en tant que cette personne. Dans ce cas, les pirates ont pu accéder à Slack d'EA en utilisant le cookie volé. (Bien qu'il ne soit pas nécessairement connecté, Motherboard a signalé en février 2020 qu'un groupe de chercheurs a découvert qu'un ancien ingénieur avait laissé une liste des noms des chaînes EA Slack dans un référentiel de code public)".


Il faut se rappeler qu'une liste de la chaine Slack pouvait être accessible depuis novembre 2019, mais EA disait avoir comblé la faille, mais rebelote en février 2020, puisque qu'un ancien ingénieur avait laissé un morceau de code exposé sur un dépôt Github
Un attaquant pouvait récupérer la liste complète des utilisateurs qui appartiennent aux anciens et nouveaux employés d'EA, à travers le monde,
Un attaquant pouvait également récupérer une liste complète de tous les canaux dans l'espace de travail Slack d'EA, ainsi que "le titre des projets sur lesquels ils travaillent, les descriptions des canaux contenant des URL vers des documents, des pages d'assurance qualité internes, etc.", a ajouté Hussein.
Au total, il a été trouvé 'environ 29 000 chaînes

Il faut savoir que sociétés de jeux vidéo sont tellement préoccupées par les détails de leurs jeux qui fuient avant leur stratégie marketing préparée, qu'elles utilisent souvent des noms de code pour en discuter en interne.
Même si les pirates informatiques mettaient la main sur une liste de chaînes Slack, il est possible qu'ils ne révèlent aucun nom de jeu non annoncé.

Et je peux confirmer que sur Slack, tout est soigneusement dosé en terme de communication, car meme les CM n'avaient pas toutes les infos, alors qu'on pouvait voir des fuites d'images, de détails de jeux ailleurs sur le net (twitter etc)
C'était pénible du reste car on n'avait pas de réponses aux questions posées par la communauté FR sur les jeux EA


Et pour en revenir au sujet

Les auteurs originels du vol ne sont pas contents
Des petits malins essaient de se faire passer pour des vendeurs (pour encaisser l'argent)

Comme je l'avais indiqué précédemment, la proposition de vente a commencé non pas en juin, mais... fin mai
Ce que je peux ajouter maintenant puisque l'info est publique, la vente initiale a été proposée par un membre de KickAss ayant le pseudo de "Cyberjagu"

Ce n'est que depuis juin que l'info du vol a circulé, (il y a une dizaine de jours maintenant) car les propositions de vente sont apparues sur des forums plus accessibles et visibles

Du coup les membres kickass donnent quelques indications sur ce qu'ils possèdent
Exemple :

Fifa.png


Où on trouve :
2021-06-14_113820.png

Sur les serveurs.. "moins publics" on peut trouver
fifa2.png



Edit du 25/06/2021

Dans le lien : https://www.01net.com/actualites/01hebd ... 45065.html

Apparait une émission 01.net, 01.tv
https://www.dailymotion.com/video/x827jbk

où prend la parole :

"Benoit Grunewald, expert en cyberattaque chez ESET France", qui nous explique en détail cet évènement.

"Il confirme la revente du code source de FIFA : 28 millions"

Ben non M.Grunwald ce prix demandé ne concerne pas QUE FiFA et il n'a pas été dit qu'il s'agissait du code source de FIFA mais de celui du FROSBITE (le moteur)
Pourtant il décrit bien ce qui a été volé au début de son intervention

Idem lorsqu'il parle de la revente à la concurrence : C'est impossible. Un éditeur qui utiliserait le code source du Frosbite serait de suite repéré
Idem lorsqu'il dit que EA n'a pas confirmé le mécanisme du vol ... (je ne peux donner d'autre détails, mais c'était discuté au sein meme de chez EA et j'ai indiqué ce qui est passé en source ouverte)

Par contre sur le danger des cookies, c'est assez bien expliqué



Edit du 02/08/2021 : Juste pour le suivi de l'affaire

Vu que personne ne veut acheter le code source de FIFA 21 et que les hackers ont tenté d’extorquer une rançon à l’éditeur, sans succès (En fait Ils affirment n’avoir reçu aucune réponse) ils ont mis le code source en libre accès via mega.nz
Pour le reste wait and see
Petite nouveauté : Ils ont joint des images qui semblent montrer des données liées aux Sims.
Vous ne pouvez pas consulter les pièces jointes insérées à ce message.
- Only Amiga... Was possible ! Lien https://forum.malekal.com/viewtopic.php?t=60830
- « Un problème sans solution est un problème mal posé. » (Albert Einstein)
- « Tous les patients mentent » (Théorème du Docteur House) Que ce soit consciemment ou inconsciemment
- Jeff Goldblum dans Informatic Park, professeur adepte de la théorie du chaos : « Vous utilisez un crack, un keygen ? Qu’est-ce qui pourrait mal tourner?? »
- Captcha : Il s'agit d'un ordinateur qui demande à un humain de prouver.. qu'il n'est pas un ordinateur ! (Les prémices du monde de demain)
- Dans le monde il y a deux sortes de gens : Ceux qui font des sauvegardes et .. Ceux qui vont faire des sauvegardes (Extrait du Credo.. Telle est la voie ! )
Avatar de l’utilisateur
Parisien_entraide
Messages : 20289
Inscription : 02 juin 2012 20:48
Localisation : Thomas Anderson : Je suis dans et en dehors de la matrice :-)

Vol de données : Nord Locker (NORD VPN)

par Parisien_entraide »

2021-06-12_145850.png


UNE BASE DE 1,2 To de données compromises


La découverte émane de NordLocker (qui appartient à NordVPN)


DE QUOI S'AGIT -IL ?

Il s'agit d'un malware de type cheval de Troie qui a été transmis par e-mail et par des logiciels piratés
Le malware n'a pas encore été identifié à ce stade mais les soupçons portent sur Azorult et le Raccoon vu la période

Ce malware a réussi à se propager via des versions piratées de logiciels comme

Code : Tout sélectionner

-  (Identifiés) Programmes Adobe (dont les Photoshop)  - 
-  (Identifiés) Programmes de chez AutoDesk
.....  (en fait n'importe quel programme piraté/cracké puisque c'est modifiable à la demande)
-  Des jeux vidéo téléchargés illégalement (et crackés)
-  Des cheats de jeux et programmes complémentaires
-  Outils de crack pour windows (de type KMS) 
-  Des emails (phishing)
Le virus a attribué des identifiants de périphérique uniques aux données volées, afin qu'elles puissent être triées par périphérique source (cela permet de retrouver plus facilement une cible)



CE QUE L ON SAIT

Les données ont été collectées à partir de 3,25 millions d'ordinateurs.
La base au total fait 1.2To

Les captures d'écran réalisées par le malware révèlent que les données ont été volées entre 2018 et 2020.



Le malware a volé près de

Code : Tout sélectionner

- 26 millions d'identifiants de connexion (dont les principaux sont les toujours même Facebook, Twitter, Amazon et Gmail.contenant 1,1 million d'adresses e-mail uniques, 
- 2 milliards de cookies 
- 6,6 millions de fichiers.
Dans certains cas, les victimes stockaient les mots de passe dans des fichiers texte crées avec l'application Bloc-notes.

Il faut savoir que des chevaux de Troie (Trojan) sans nom ou personnalisés (le client exprime son souhait suivant le logiciel visé, sa cible) sont largement disponibles en ligne pour moins de 100 $ et sont rarement détectés par les AV

La solution de camouflage est souvent dans le PE (sur ce que bute les AV depuis une vingtaine d'années)
Les AV basés sur signature ne trouveront rien
Les packers peuvent crypter, compresser ou simplement modifier le format d'un fichier malveillant pour le faire ressembler à autre chose

Les packers (packer UPX par ex et ses variants) sont souvent utilisés pour échapper à la détection, c'est pour cela que souvent les AV par défaut indiquent une possible infection, que les gens sont rassurés parce qu'on leur dit qu'il s'agit d'un faux positif, que Virustotal "peut" ne rien voir etc

En conséquence, les logiciels malveillants peuvent rester dans un système sans être détectés par les logiciels antivirus, les produits anti-malware et autres logiciels de sécurité,


Il existe cependant des logiciels pour analyser comme

https://security.opentext.com/appDetail ... -Detection
Et si vous voulez vous lancer
https://resources.infosecinstitute.com/ ... are/#gref




LES DETAILS :



IDENTIFIANTS DE CONNEXION

26 millions d'identifiants de connexion (e-mails ou noms d'utilisateur accompagnés de mots de passe) sur près d'un million de sites Web. Les données ont été classées en 12 groupes différents en fonction du type de site Web.
Exemples (Je n'ai mis que le principal et le plus connu)


RESEAUX SOCIAUX

Code : Tout sélectionner

Facebook                   1 471 416
Twitter                            261,773
Instagram                      153 754
VKontakte                     148 653
LinkedIn                         113 013
Odnoklassniki                 71 687
Pinterest                          30 916
Tumblr                               21 773
Snapchat                           15 694
Badoo                                   9 659

JEUX EN LIGNE

Code : Tout sélectionner

Roblox                     197,166
Steam                      189,740
Epic Games               91,271
Minecraft                  70,789
Garena                       59,698
Electronic Arts        44,472
Battle                         42,589
Wargaming               42,265
Rockstar Games      36,716
Riot Games               26,945


SITES D'ACHATS

Code : Tout sélectionner

Amazon           209,534
eBay                 132,935
AliExpress         87,624
Mercado            58,745
Alibaba              38,953
Flipkart              34,221
Shopee              17,688
Walmart            12,288


SITES DE MARQUES ELECTRONIQUE

Code : Tout sélectionner

Apple             127,793
Sony                  67,976
Samsung          41,854
Xiaomi               32,001
Nintendo             6,753
BlackBerry          5,953


SITES DE STOCKAGE CLOUD ET PARTAGES

Code : Tout sélectionner

Mega                 123,416
Dropbox               87,282
4shared                59,804
MediaFire            31,835
SlideShare              9,963
iCloud                      8,916
Box                           7,925
Fshare                      7,881


SERVICES DE STREAMING

Code : Tout sélectionner

Netflix               170,067
Twitch                106,690
Spotify                 61,349
SoundCloud        16,007
YouTube                 7,237


COMMUNAUTE

Code : Tout sélectionner

Twitch                 106,690
Discord               101,956
Reddit                   23,025
DeviantArt           23,025

FINANCE

Code : Tout sélectionner

PayPal                 145,436
Qiwi                        21,146
Blockchain            19,736
PagSeguro            15,408
Coinbase                13,528
FreeBitco                11,926

SERVICES E-MAIL

Code : Tout sélectionner

Google Gmail           1,540,650
Outlook                        403,580
Yahoo                            224,961
Mail.ru                          167,044
Freemail.hu                167,044


COMMUNICATION/PRODUCTIVITE

Code : Tout sélectionner

Yandex                     91,907
Adobe                      47,010
Uber                         25,881
Autodesk                25,194
Skype                       24,792
WordPress              24,688
Wix                            22,016
Booking                   21,969
GitHub                     19,610
TeamViewer            14,747
On y trouve également un million d'images (696 000 fichiers .png et 224 000 fichiers .jpg)
La base de données contient également plus de 650 000 documents Word et fichiers .pdf.


Le malware ciblait également les fichiers que les utilisateurs stockaient sur leurs ordinateurs de bureau et dans les dossiers de téléchargement.

De plus, le logiciel malveillant a fait une capture d'écran après avoir infecté l'ordinateur et pris une photo à l'aide de la webcam de l'appareil.



SUR LES COOKIES

Les cookies volés sont classés en cinq groupes en fonction de la catégorie du site Web.


Cookies du marché en ligne (sites d'achats)
Les cookies d'achat en ligne sont utilisés pour stocker les données du panier d'achat pendant que l'utilisateur navigue dans une boutique. Cependant, ils peuvent être utilisés pour détourner la session d'un acheteur afin de pénétrer dans son compte où son adresse personnelle et les détails de sa carte de crédit peuvent être stockés
Coockie lmarche enb ligne.png


Cookies de jeux en ligne
Les cookies de jeu en ligne collectent des données de géolocalisation, le temps de jeu, les contacts de l'utilisateur, etc. Avec les cookies de jeu volés, les pirates peuvent s'emparer de comptes, vendre des objets de valeur ou utiliser les informations pour lancer une attaque plus ciblée.
Cookei jeux en ligne.png


Cookies du site de partage de fichiers
Les cookies des sites de partage de fichiers tels que Dropbox, Slideshare et MediaFire contiennent des identifiants de fichiers et peuvent permettre aux pirates d'accéder au stockage cloud de l'utilisateur si le service n'est pas crypté de bout en bout.
cookei partage.png


Cookies de réseaux sociaux
Les cookies de réseaux sociaux peuvent permettre aux pirates d'accéder aux comptes personnels et professionnels des personnes. Les pirates utiliseraient ensuite ces identités volées pour envoyer des messages de spam aux amis et aux clients de la victime.
cooki rese sociax.png


Services de diffusion vidéo
Les pirates peuvent utiliser des cookies de streaming vidéo pour accéder à leur emplacement, aux préférences du site et à l'historique de recherche. Ces cookies pourraient même servir de motif d'extorsion si les données révélaient que la personne avait regardé un contenu inapproprié pendant les heures de travail.

cooki dif viudeo.png


DONNEES LOGICIELLES


La base de données contient des cookies, des informations d'identification, des données de remplissage automatique et des informations de paiement provenant de 48 applications.

La recherche montre que les logiciels malveillants ciblaient les applications, principalement les navigateurs Web, pour voler la grande majorité des données.
Le malware a également volé des données à partir d'applications de messagerie, de clients de messagerie, de clients de partage de fichiers et de certains clients de jeux

Code : Tout sélectionner


Google Chrome                                    19,425,347
Mozilla FireFox                                       3,296,639
Opera                                                         2,000,042
Internet Explorer/Microsoft Edge    1,280,759
Chromium                                                 1,023,008
CocCoc                                                          451,962
Outlook                                                        111,732
Yandex Browser                                           79,530
Torch                                                                57,427
Thunderbird                                                   42,057
FileZilla                                                            38,610
Amigo                                                               37,965
Vivaldi                                                              25,826

Cent Browser
22,172

Cyberfox
15,860

Chedot
14,938

WinSCP
12,327

Waterfox
11,830

Comodo Dragon
14,270

Kometa
7,680

Brave
7,356

PaleMoon
7,224

Orbitum
5,712

Elements Browser
4,944

Uran
4,199

IceDragon
3,715

GoBrowser
2,833

Epic
2,006

Default
1,305

InternetMailRu
918

360 Browser
857

Pidgin
816

Web Authentication Broker
730

UC Browser
661

Sputnik
522

SeaMonkey
456

Safer Browser
311

Browser
248

Login
238

Dragon
202

Nichrome
198

Bromium
186

Rockmelt
67

Old
62

Psi
53

Mustang
31

PsiPlus
24

Superbird
18



LA RELATIVE BONNE NOUVELLE :


Il a été constaté que sur le total de 2 milliards de cookies volés, seulement environ 22% étaient encore valides le jour de la découverte.
Les cookies aident les pirates à se faire une idée précise des habitudes et des intérêts de leur cible.
Pour le reste (identifiants de connexion etc) c'est à chacun de vérifier



CE QU'IL EST POSSIBLE DE FAIRE

Consulter le site https://haveibeenpwned.com/

car Troy HUNT a mis à jour les bases avec cette nouvelle source de données https://www.troyhunt.com/nameless-malwa ... een-pwned/

Pour rappel il s'agit de la seule base vraiment à jour et il faut se méfier des sites clones qui indiquent faire la même chose mais avec sûrement des motivations autres

Troy Hunt est bien connu depuis des années en tant que chercheur en sécurité, forme des professionnels dans ce domaine, a la confiance de plusieurs pays, associations, de divers services dont le FBI
Il exerce la fonction de directeur régional Microsoft et MVP et est maintenant conseiller stratégique pour NordVPN


AUTRE CONSEILS

Il n'est pas indispensable de revenir sur l'usage d'un Windows piraté, et des programmes et jeux crackés etc
Cela part du bon sens et de la logique


Sécuriser son PC
https://www.malekal.com/securiser-pc-windows-10/

Sécuriser sa navigation internet (en ex firefox)
https://www.malekal.com/securiser-le-na ... firefox-2/

Ne pas stocker ses login et mots de passe en clair ni utiliser les mêmes sur différents sites web, réseaux sociaux, comptes de jeux etc
https://www.malekal.com/les-meilleurs-g ... e-dossier/

Eviter les messageries ciblées comme Gmail
https://www.malekal.com/meilleurs-logic ... messagerie


Si vous souhaitez effacer vos données personnelles de navigation avec un "nettoyeur" axé vers la suppression des traces liées aux données personnelles qui pourraient être exploitées via la navigation internet ou divers programmes qui font de la télémétrie en rapport avec ces données

Je n'en conseille qu'un : PRIVAZER (stable, fiable, Français, et en versant son obole, on a droit à quelques fonctionnalités supplémentaires comme le nettoyage des shellbags ou un bouton permet de nettoyer les traces internet en "un clic"

En effet, les clés ShellBags peuvent contenir des informations concernant nos activités passées :
- les noms et chemins des dossiers que vous avez ouverts même si le dossier a été supprimé !
- des informations détaillées sur l'horodatage, date de création, date de modification, temps d'accès
Privazer s'occupe également des https://www.comptoir-hardware.com/actus ... tiers.html

Mais PRIVAZER ne traite pas toutes les données Steam et Origin qui font de la télémétrie et laissent des données en place. D'autres plus axés sur le nettoyage à l'ancienne (gain de place etc) le font (dont le décrié à juste titre, mais il faut bien le configurer CCleaner avec son extension CCenhancer)
https://www.malekal.com/alternative-ccl ... r-windows/

Sur les nettoyeurs dont de fichiers ET de registre :
Les conseils ici ont plus de 10 ans mais sont toujours d'actualité
viewtopic.php?t=26069

Sur les arnaques
https://www.malekal.com/logiciels-nettoyage-windows/

Ce lien met l'accent sur le business et l'efficacité, ce qu'ils font
https://www.malekal.com/logiciels-netto ... efficaces/
Vous ne pouvez pas consulter les pièces jointes insérées à ce message.
- Only Amiga... Was possible ! Lien https://forum.malekal.com/viewtopic.php?t=60830
- « Un problème sans solution est un problème mal posé. » (Albert Einstein)
- « Tous les patients mentent » (Théorème du Docteur House) Que ce soit consciemment ou inconsciemment
- Jeff Goldblum dans Informatic Park, professeur adepte de la théorie du chaos : « Vous utilisez un crack, un keygen ? Qu’est-ce qui pourrait mal tourner?? »
- Captcha : Il s'agit d'un ordinateur qui demande à un humain de prouver.. qu'il n'est pas un ordinateur ! (Les prémices du monde de demain)
- Dans le monde il y a deux sortes de gens : Ceux qui font des sauvegardes et .. Ceux qui vont faire des sauvegardes (Extrait du Credo.. Telle est la voie ! )
Avatar de l’utilisateur
Parisien_entraide
Messages : 20289
Inscription : 02 juin 2012 20:48
Localisation : Thomas Anderson : Je suis dans et en dehors de la matrice :-)

Vol de données : PRONOTE

par Parisien_entraide »

2021-06-14_132832.png


Je n'ai pas le temps de tout indiquer (bis repetita) concernant les vols de données, qui apparaissent chaque jour, mais celle ci met en avant des données d'enfants mineurs, visiblement de la région Bretagne (il y a des villes citées comme PONTIVY, DOUARNENEZ) et qui sont au Lycée


Il y a 380 entrées tirées de PRONOTE (mais qui serait tirées du logiciel Libellule pour l’enseignement agricole).

Pour rappel : Pronote est un logiciel de gestion de vie scolaire créé en 1999 par Index Éducation, et utilisé dans plus de 10 000 collèges et lycées

Les données concerne donc les élèves MAIS AUSSI les parents avec des annotations "mère sans activité professionnelles" et si le père non plus "Autre personne sans activité professionnelle"

Je ne mets pas les données, seulement les indicatifs du tableau

Code : Tout sélectionner

Id_propre_a_Libellule,
Pays_de_naissance,
Dept_naissance,
Motif_de_sortie,
Identifiant_EN_INE,
Nom,
Prenom,
Sexe,
Date_de_naissance,
Lieu_de_naissance,
Eleve_email,
Eleve_Tel_Portable,
Annee_d_arrivee,
Date_de_demission,
Eleve_Adresse_1,
Eleve_Adresse_2,
Eleve_Adresse_3,
Eleve_Code_Postal,
Eleve_Commune,
Eleve_Tel_domicile,
Etablissement_d_origine,
Redouble,
Libelle_Section,
Code_division,
Libelle_division,
LV_1,
LV_2,
Regime,
Resp1_lien_elvresp,
Resp1_Civilite,
Resp1_Csp_Niv1,
Resp1_Nom,
Resp1_Prenom,
Resp1_Email,
Resp1_num_du_tel,
Resp1_num_tel_du_portable,
Resp1_Adresse_1,
Resp1_Adresse_2,
Resp1_Code_Postal,
Resp1_commune,
Resp1_tel_du_domicile,
Resp1_indicatif_du_tel_autre,
Resp2_lien_elv_resp,
Resp2_Civilite,
Resp2_Nom,
Resp2_Prenom,
Resp2_Email,
Resp2_num_de_tel,
Resp2_Tel_du_Portable,
Resp2_Adresse_1
,Resp2_
Adresse_2,
Resp2_Adresse_3,
Resp2_Code_Postal,
Resp2_commune,
Resp2_tel_du_domicile
Vous ne pouvez pas consulter les pièces jointes insérées à ce message.
- Only Amiga... Was possible ! Lien https://forum.malekal.com/viewtopic.php?t=60830
- « Un problème sans solution est un problème mal posé. » (Albert Einstein)
- « Tous les patients mentent » (Théorème du Docteur House) Que ce soit consciemment ou inconsciemment
- Jeff Goldblum dans Informatic Park, professeur adepte de la théorie du chaos : « Vous utilisez un crack, un keygen ? Qu’est-ce qui pourrait mal tourner?? »
- Captcha : Il s'agit d'un ordinateur qui demande à un humain de prouver.. qu'il n'est pas un ordinateur ! (Les prémices du monde de demain)
- Dans le monde il y a deux sortes de gens : Ceux qui font des sauvegardes et .. Ceux qui vont faire des sauvegardes (Extrait du Credo.. Telle est la voie ! )
Avatar de l’utilisateur
Parisien_entraide
Messages : 20289
Inscription : 02 juin 2012 20:48
Localisation : Thomas Anderson : Je suis dans et en dehors de la matrice :-)

Vol de données ? DOCTOLIB et les données médicales

par Parisien_entraide »

2021-06-23_115847.png



DOCTOLIB et les données médicales


Là il ne s'agit pas de vol de données (du moins par le fait d'un tiers) mais de transfert de données médicales

Pour rappel :

Doctolib collabore avec 135 000 professionnels et 3 000 établissements de santé
La plateforme enregistre chaque mois plus de 60 millions de visites de patients.

Les inquiétudes liées au "giron américain" se confirment (le lien ci dessous évoque également les données de santé en hébergement du Health Data Hub, chez Microsoft)

"La problématique tient en une phrase : Doctolib passe par l’entreprise américaine Amazon Web Services pour héberger ses activités, alors même que la société française joue un rôle central dans l’activité des centres de vaccination (deux autres sociétés françaises sont aussi impliquées, Maiia et Keldoc)."

https://www.numerama.com/tech/692317-po ... mique.html


Ce que dit Doctolib :

« Pour DOCTOLIB, la sécurité et la confidentialité des données personnelles de ses utilisateurs sont une priorité absolue. Par conséquent, DOCTOLIB s'engage à respecter toutes les réglementations allemandes et européennes en matière de protection des données personnelles. DOCTOLIB adhère aux règles professionnelles des médecins et des professionnels de santé édictées par les chambres et associations respectives. »


Voila pour la vitrine (1)

Se rappeler que le marché des données médicales est estimé en Europe à 400 milliards d'euros
Vu l'estimation et la manne que cela représente, les stés sont prêtes à tout, quitte à mentir (les amendes étant ridicules)
C'est pour cela aussi que les hackers s'y intéressent



Comme l'indique le site Allemand, source de l'info

"Vous cherchez un rendez-vous chez le médecin avec « Doctolib » ces derniers temps ?
Il est fort possible que les sociétés Facebook et Outbrain le sachent déjà. Même avec des questions sensibles telles que les conseils d'incontinence de l'urologue ou la consultation des filles chez le gynécologue. "


La version allemande de Doctolib intégrait des mouchards qui transmettaient tous les mots-clés saisis par les utilisateurs.

Chez Doctolib, la confidentialité des données médicales n’est pas toujours de mise.
En effectuant une analyse de la version allemande de l’application, le site Mobilsicher.de a découvert, avec stupeur, que les recherches effectuées sur la plateforme de réservation étaient envoyées à Facebook et Outbrain.

Extrait de https://mobilsicher.de/ratgeber/verstoe ... d-outbrain
-------------------------------------

Lors du test, nous nous sommes connectés à Doctolib, avons recherché un urologue et indiqué "consultation d'un homme de stérilisation par vasectomie" comme motif de réservation. Nous avons également sélectionné un médecin, demandé un rendez-vous et spécifié "assuré privé" comme statut d'assurance.

Le dernier lien via lequel cette demande a été effectuée ressemblait à ceci dans le test :

Code : Tout sélectionner

https://tr.outbrain.com/unifiedPixel? marketerId = 0077195aa0d6c59afbe8f9690e36deb48a & obApiVersion = 1.1 & obtpVersion = 1.4.1 & name = PAGE_VIEW et dl = https% 3A% 2F% 2F www.doctolib.de % 2F Urologie % 2Fberlin% 2Freimar-Domnitz% 2Fbooking% 2Favailabilities% 3FinsuranceEventsEnabled% 3Dtrue% 26 insuranceSector % 3 D privé %26isNewPatient%3Dtrue%26isNewPatientBlocked%3Dfalse%26 motifKey %3D Vorgespr%25C3%25A4ch %2520 Vasektomie %2520%2528 Stérilisation %2520 Mann %2529-1336 %26placeId%3Dpractice-156231%26specialityId%3D1336&optOut=true&bust=021040211195470526 
Emballé dans le lien de demande, nous voyons les informations suivantes:

- un marketerID d'Outbrain
- que le lien vient de doctolib.de
- le mot de recherche urologie
- sous "secteur d'assurance = privé", il est noté que nous prétendons être assurés en privé
- et enfin le traitement souhaité, "motiveKey = entretien préalable vasectomie/stérilisation homme".

La demande à Facebook contient les mêmes informations, uniquement avec l'identifiant Facebook initialement attribué.

En dehors de cela, les deux services reçoivent naturellement aussi leur propre adresse IP. Les informations transmises peuvent donc difficilement être considérées comme anonymes.
-------------------------------

Autrement dit, si un utilisateur tapait les mots-clés « cancer de la prostate » dans la barre de recherche, ceux-ci étaient envoyés tels quels aux deux partenaires, accompagnés de l’identifiant marketing respectif (FacebookID ou MarketerID). Évidemment, l’adresse IP était également transmise, de sorte que ces acteurs pouvaient assez aisément cibler l'utilisateur. Merci pour le secret médical.


Depuis la "découverte" , DoctoLib a rétropédalé, mais la raison de ce transfert n’est pas très claire.


Une réaction immédiate

Cette analyse a été réalisée le 18 juin dernier.
Le 21 juin, ces échanges n’existaient plus.

Alerté par Mobilsicher.de, Doctolib a donc promptement rétropédalé et supprimé ces deux mouchards.

L’explication donnée par la direction de l’éditeur est assez nébuleuse. Ces deux trackers auraient servi à « mesurer le succès » d’une campagne marketing.

En revanche, l’éditeur n’explique pas pourquoi il a fallu alors transmettre autant d’informations sensibles.

Il n’est pas clair si ces transferts ne concernaient que doctolib.de ou également doctolib.fr. Nous avons vérifié les échanges HTTP pour la version française et n’avons pas pu trouver de connexions vers Facebook ou Outbrain.

Cette affaire met en évidence le risque que peut constituer ce genre d'applications pour les données médicales des utilisateurs.

L’éditeur ne cesse de garantir la protection absolue de ces informations, mais comme on peut le voir, on n’est jamais à l’abri d’une mauvaise surprise.

D’ailleurs, l’association allemande Digitalcourage a récemment décerné à Doctolib le prix « Big Brother 2021 » pour la gestion peu transparente des données des patients.
Quand l’éditeur accueille un nouveau professionnel de santé comme client, la première chose qu’il fait, c’est siphonner sa base de patients. L’usage ultérieur qui est fait de ces données ne serait pas clair.



QU'EN EST IL DE GOOGLE ? (via Android)

https://www.zeit.de/digital/datenschutz ... ntendaten

dans un article daté du 23 juin 2021 à propos de Doctolib ZEIT.DE souligne que Google recevait également des informations du service.
Cela a été confirmé

Lors de notre test du vendredi 18 juin 2021, l'application Android a contacté le service publicitaire de Google et transmis les informations concernant le médecin sur lequel nous avions cliqué :

Code : Tout sélectionner

https://googleads.g.doubleclick.net/pagead/viewthroughconversion/953811499/?random=1623920547973&cv=9&fst=1623920547973&num=1&bg=ffffff&guid=ON&resp=GooglemKTybQhCsO&eid=2505059651&u_h=732&u_w=412&u_ah=732&u_aw=412&u_cd=24&u_his=5&u_tz=120&u_java=false&u_nplug=0&u_nmime=0&gtm=2oa690&sendb=1&ig=1&data=event%3Dgtag.config&frm=0&url=https%3A%2F%2Fwww.doctolib.de%2F frauenarzt %2Fhalle-saale%2F heidi-pia-schmidt &tiba=Heidi-Pia%20Schmidt%2C%20Frauenarzt%20%2F%20Gyn%C3%A4kologe%20in%20 Halle %20 (Saale) &hn=www.googleadservices.com&async=1&rfmt=3&fmt=4
Étant donné que le système d'exploitation Android transfère naturellement beaucoup de données vers Google, nous avons d'abord négligé ces données dans notre évaluation du test du 18 juin 2021. Lorsque nous l'avons testé à nouveau le 23 juin 2021, nous ne pouvions plus observer le comportement décrit.

Doctolib utilise toujours les services Google, dont Firebase Crashlytics (analyse de crash), Firebase Installations (comptabilise les installations) et Google Maps, si vous pouvez afficher les médecins à proximité.
Google saura que vous utilisez l'application Doctolib et quand.
Cependant, Google le découvrira dès que vous téléchargerez l'application sur le Play Store. Nous n'avons pas pu observer une transmission de processus de recherche ou d'autres événements d'utilisation.

----------------------

LES REACTIONS

Facebook nous a contactés et a fait une déclaration au sujet de notre enquête.

Un porte-parole de Facebook : « Les utilisateurs de nos outils commerciaux ne sont pas autorisés à partager des données de santé personnelles avec nous.
Si des entreprises partagent ces données avec nous par inadvertance, nos mécanismes de filtrage sont conçus de manière à pouvoir reconnaître les informations relatives à la santé et supprimer les des données reconnues avant qu'elles ne soient stockées dans nos systèmes de publicité.
Nous sommes en contact avec Doctolib pour assurer la bonne mise en œuvre de nos outils à l'avenir.
" Les données sensibles provenant de Doctolib avaient donc été interceptées et filtrées par les systèmes de Facebook avant la publication de notre rapport.



Le Ministère de Santé de Berlin à répondu à notre demande.

Lorsqu'on lui a demandé si le consentement pour le comportement décrit du service est considéré comme suffisant et si l'on en avait connaissance, le service de presse écrit :

« Nous avons la confirmation de Doctolib que toutes les applications sont exploitées conformément au RGPD.

Une analyse exacte de ce cas particulier n'a pas été réalisée.
Lorsqu'on lui a demandé si le site Web ou l'application avaient fait l'objet d'un contrôle technique préalable : « Un contrôle technique plus approfondi de tous les aspects de la sécurité et de la protection des données n'a pas pu être effectué à l'époque et, compte tenu des documents et déclarations présentés, il Il n'y avait pas de raison impérieuse de le faire.
Cela devrait être le cas. Si l'occasion se présente, le département sénatorial de la Santé, des Soins infirmiers et de l'Égalité prendra les mesures nécessaires. »





Pour rappel :

À la mi-2020, un ensemble de données de 150 millions de rendez-vous a été librement accessible aux personnes non autorisées sur Internet. Dans certains cas, les heures de bureau remontent à 1990.
Les membres du Chaos Computer Club ont divulgué ces données et informations sur la faille de sécurité de manière anonyme.


Sources :

https://www.01net.com/actualites/doctol ... 44923.html
https://www.zeit.de/digital/datenschutz ... entendaten
https://mobilsicher.de/ratgeber/verstoe ... d-outbrain

A lire

(1) https://bigbrotherawards.de/2021/gesundheit-doctolib

______


Edit du 21/08/2022

En effet à partir du 31 aout prochain, Doctolib va récolter un très grand nombre de données censées être "anonymes" et vous ne pouvez rien y faire
La présence de l'âge, sexe, ville, profession permettent la ré-identification
Il faut se rappeler que l'anonymisation est un leurre
https://www.malekal.com/limites-anonymisation-donnees/

Ces données ne sont pas censées être anonymes, la colonne de gauche s'intitule "Pourquoi les données à caractère personnel sont-elles utilisées", et on vous précise que c'est 1. pour des statistiques d'utilisation et 2. pour ensuite les anonymiser

Et le RGPD ? Puisque l'anonymisation est un traitement, les traitements sur les données anonymisées vous ne savez pas ce que c'est puisque les données sont anonymisées donc.... hors périmètre RGPD


Du reste Doctolib indique pouvoir supprimer les données "à la résiliation du compte" alors que les données sont censées être anonymes donc plus liées à un compte... Cela veut tout dire
Doctolib donnees.jpg


Edit du 06/06/2023

Doctolib a lié un partenariat avec IQVIA "pour enrichir sa base de données de prospects".
2023-06-06_132554.jpg
Article unique consacré à Doctolib (reprend en partie ce qui est dit ci dessus mais avec des compléments)
viewtopic.php?p=540699


Si vous ne savez pas ce qu'est IQVIA voici tous les sujets du forum où il en est fait état, directement ou indirectement (avec ou sans Doctolib)

L'émission de Cash Investigation
viewtopic.php?p=510836#p510836

Pass sanitaire : la poudre aux yeux du pseudonymat, des données médicales en clair
viewtopic.php?p=511564#p511564

Meta (nouveau nom de Facebook) menace de fermer Facebook et Instagram

viewtopic.php?p=521071#p521071

Cloud Act : Les USA peuvent mettre la main sur les données détenues en Europe
viewtopic.php?t=71133
Vous ne pouvez pas consulter les pièces jointes insérées à ce message.
- Only Amiga... Was possible ! Lien https://forum.malekal.com/viewtopic.php?t=60830
- « Un problème sans solution est un problème mal posé. » (Albert Einstein)
- « Tous les patients mentent » (Théorème du Docteur House) Que ce soit consciemment ou inconsciemment
- Jeff Goldblum dans Informatic Park, professeur adepte de la théorie du chaos : « Vous utilisez un crack, un keygen ? Qu’est-ce qui pourrait mal tourner?? »
- Captcha : Il s'agit d'un ordinateur qui demande à un humain de prouver.. qu'il n'est pas un ordinateur ! (Les prémices du monde de demain)
- Dans le monde il y a deux sortes de gens : Ceux qui font des sauvegardes et .. Ceux qui vont faire des sauvegardes (Extrait du Credo.. Telle est la voie ! )
Avatar de l’utilisateur
Parisien_entraide
Messages : 20289
Inscription : 02 juin 2012 20:48
Localisation : Thomas Anderson : Je suis dans et en dehors de la matrice :-)

Vol de données : France test (Dont tests Covid)

par Parisien_entraide »

Après l'affaire DEDALUS, l'affaire IQVIA, et la fuite de 500 000 données médicales de Français, on voit que c'est encore et toujours le bazar dans le traitement de nos données, que tout le monde s'en fout et que les incompétents sont toujours en place

En fait il n'y a rien d'étonnant, c'est à l'image du traitement de cette crise Covid (et inversement)

2021-09-01_005042.png

Plus de 700 000 résultats de tests, et les données personnelles des patients, ont été durant des mois accessibles en quelques clics en raison de failles béantes sur le site de Francetest, un logiciel transférant les données des pharmaciens vers le fichier SI-DEP et pourtant non homologué.
- Les noms
- prénoms
- dates de naissance
- adresses
- numéros de téléphone
- numéros de Sécurité sociale
- adresse e-mail
et résultat des tests étaient accessibles jusqu’à vendredi grâce à « un mot de passe trouvable, en clair, dans un dossier accessible à tous » sur le site de Francetest,

Je cite :

Francetest est une société fondée en janvier dernier qui s’est spécialisée dans le transfert de données de tests Covid réalisés en pharmacie vers la plateforme SI-DEP. Le SI-DEP (système d’information de dépistage) est une plateforme sécurisée où sont systématiquement enregistrés les résultats de tests Covid-19 afin « de s’assurer que tous les cas positifs sont bien pris en charge » et d’identifier les cas contacts, explique le ministère de la Santé sur son site.

Cette plateforme, « fabriquée par l’AP-HP (Assistance publique-Hôpitaux de Paris) en urgence en décembre (…) n’est pas très ergonomique », explique Philippe Besset, président de la Fédération des syndicats pharmaceutiques de France (FSPF). Résultat : nombre de pharmaciens ont recours à des intermédiaires pour rentrer les résultats des tests réalisés dans le SI-DEP. Francetest facture ainsi un euro par transmission, d’après Mediapart.


Une ombre au tableau toutefois : la Direction générale de la santé (DGS) a envoyé un courrier électronique le 29 août aux pharmaciens pour leur rappeler quels sont les logiciels agréés et compatibles avec le SI-DEP, et Francetest n’en fait pas partie. C'est en effet le ministère de la Santé qui «homologue les logiciels compatibles avec SI-DEP», rappelle Mediapart. Or, le ministère a également affirmé auprès de Mediapart que Francetest est «un site non autorisé à alimenter SI-DEP et la responsabilité incombe donc au gérant de la société».

Mediapart soulève à ce titre certaines ambiguïtés juridiques qui gravitent autour de la plateforme. Ne figurant pas dans la liste d’habilitation établie par le ministère – bien que Francetest en aurait fait la demande – le décret pris ne prévoit toutefois aucune sanction en cas d’infraction. Interrogé à ce sujet, le ministère de la Santé a reconnu qu’«à cette date, il n’y a pas d’obligation légale» mais qu’une modification du décret afin de corriger le tir est prévue.



Nathaniel Hayoun, le créateur et responsable de Francetest, a assuré que des experts en sécurité planchaient sur le problème, notamment pour déterminer les éventuelles exploitations de la faille et des données rendues accessibles.
Ce qui ne l'empeche pas à travers leur communiqué (voir plus bas) de déclarer avant les conclusions de l'enquête

"Il n’existe à ce jour aucun élément qui permet de penser que des informations personnelles de patients ou de pharmaciens aient effectivement fuitées.

Le bla bla habituel en fait après chaque découverte de ce type

La dernière en date émane de Microsoft avec son "Cloud sécurisé"
https://www.usinenouvelle.com/article/l ... s.N1134939


Principale Source : https://www.mediapart.fr/journal/france ... tigeniques
FranceTest s'est fendu d'un communiqué : https://francetest.fr/

_____

Edit du 08/09/2021

Si on lit l'article du Monde
https://www.lemonde.fr/pixels/article/2 ... 630493099

On imagine une Sté quelque peu imposante, mais en fin de lecture ce qui trouble un peu c'est le :

"La direction générale de la santé a également envoyé dimanche un courrier électronique aux pharmaciens pour leur rappeler la liste des logiciels agréés et compatibles avec le portail SI-DEP, dont Francetest ne fait pas partie."

Alors qui trouve-t-on derrière cette sté ?

Un certain Nathaniel Hayoun, 25 ans, qui avec 100 euros de capital social ET.... 0 salariés ! Dont la sté a été crée le 10/06/2021 et Immatriculée au RCS le 16-08-2021

s'est vue confier un marché public de données de santé.
Accesoirement il est également "directeur des opérations" d'une société de formation professionnelle (chauffeur VTC, réparation de smartphones, secourisme, ...).
natha.png


On peut apprendre que le site a été développé sous... WordPress..

Autant c'est sympa pour les particuliers, autant pour une sté cela fait léger, surtout si on ne se penche pas sur l'aspect sécurité (il y a souvent des failles notamment par le biais de plug in) et il faut s'attacher à la configuration serveur
Dans l'article du Monde il est dit "Le site, construit avec l’outil populaire de sites et de blogs WordPress, n’était pas muni de certaines protections très basiques permettant d’interdire l’accès à l’arborescence du site."

Pourtant sur societe.com on peut lire
https://www.societe.com/societe/francet ... 43302.html

"FRANCETEST, société par actions simplifiée est active depuis cette année. Située à STRASBOURG (67000), elle est spécialisée dans le secteur d'activité de la programmation informatique

Sur le site FranceTest on peut lire : Hébergement de Données non sensibles (les données médicales n'en sont pas ?)

Sur le net : "Une sauvegarde automatique quotidienne d’une partie des données du site était effectuée sur le compte Google Drive de Nathaniel Hayoun"

Ah tiens, comme Tata Ginette !

Sur son site (on pourrait croire qu'il a de l'humour) puisqu'il indique un service qu'il n'utilisait pas

humour.jpg

Dans les autre annotations de la presse on peut lire " pour se connecter au SI-DEP, elle utilise les identifiants professionnels de ses clients. »
Pour peu que ces identifiants soient sauvegardés dans le WP, il pouvait faire tout ce qu'il voulait au nom du pharmacien.


Pourtant l'argent rentrait puisqu'en 3 mois il y a eu au moins 700 000 euros de chiffres d'affaires, puisqu'il y a eu 700 000 dossiers ouverts à tout le monde que chaque prestation coutait... 1 euro (comme indiqué sur le site)

2021-09-08_165838.png

De toutes les façons il n'y a meme pas eu de marché public, et pour cause la sté ne répondant pas à certains critères dont les pièces à fournir (comme l'attestation fiscale)
https://www.boamp.fr/Espace-entreprises ... n/Sommaire


La raison apparait dans un article du Parisien :

"« J’ai fait des études d’informatique et j’ai des amis pharmaciens qui avaient des problèmes pour rentrer les données dans le SI-DEP (*) chaque jour, racontait, le 18 août au Parisien , le fondateur de la start-up Francetest, Nathaniel Hayoun, avant que la faille de son système ne soit connue. Ça prenait un temps fou, alors j’ai créé cette solution. »


Donc on a un jeune qui se dit informaticien (son profil https://www.malt.fr/profile/nathanielhayoun )et qui malgré le fait qu'il a trompé son monde (sauvegarde sur google drive), a monté un site en 2 coups de cuillères à pot sans s'informer des règles de sécurité sur les données sensibles et sans sécuriser si ce n'est du niveau de Mme MIchu qui va se monter un site WordPress pour mettre en ligne ses recettes de cuisine.

Ses "amis pharmaciens" devaient quand même savoir que les données médicales ne sont pas des données comme les autres
En fait il y a surtout l'appât du gain facile (même si vouloir gagner de l'argent n'est pas une tare) , et encore un fait des pharmaciens qui remontaient leur résultats sur une plateforme non agréé par l'état

Pourtant le scandale IQVIA est quand même récent
viewtopic.php?t=68884

D'autres détails à (page précédente de ce sujet ) viewtopic.php?t=62280&start=45



Edit du 06/06/2023

Doctolib a lié un partenariat avec IQVIA "pour enrichir sa base de données de prospects".
2023-06-06_132554.jpg
Vous ne pouvez pas consulter les pièces jointes insérées à ce message.
- Only Amiga... Was possible ! Lien https://forum.malekal.com/viewtopic.php?t=60830
- « Un problème sans solution est un problème mal posé. » (Albert Einstein)
- « Tous les patients mentent » (Théorème du Docteur House) Que ce soit consciemment ou inconsciemment
- Jeff Goldblum dans Informatic Park, professeur adepte de la théorie du chaos : « Vous utilisez un crack, un keygen ? Qu’est-ce qui pourrait mal tourner?? »
- Captcha : Il s'agit d'un ordinateur qui demande à un humain de prouver.. qu'il n'est pas un ordinateur ! (Les prémices du monde de demain)
- Dans le monde il y a deux sortes de gens : Ceux qui font des sauvegardes et .. Ceux qui vont faire des sauvegardes (Extrait du Credo.. Telle est la voie ! )
Avatar de l’utilisateur
Parisien_entraide
Messages : 20289
Inscription : 02 juin 2012 20:48
Localisation : Thomas Anderson : Je suis dans et en dehors de la matrice :-)

Vol de données : Assistance publique – Hôpitaux de Paris (AP-HP)

par Parisien_entraide »

AP HP Logo.png


Pour changer, on continue avec le vol de données liées à la santé


Vol de données à l Assistance publique – Hôpitaux de Paris (AP-HP)

Comme d'habitude tout le monde porte plainte (pour se couvrir et pour suivre le processus), va "investiguer" parle de mesures à prendre, et comme d'habitude personne n'est capable d'anticiper, d'analyser, sécuriser.. AVANT
On se demande si il y a quelqu'un en charge de la sécurité, des systèmes, réseaux etc dans ce Ministère

On peut espère que le tout était chiffré...



Je cite :

https://www.aphp.fr/contenu/lap-hp-port ... partage-de


A la suite d’une attaque informatique », les données personnelles d’environ 1,4 million de personnes, qui ont effectué un test de dépistage du Covid-19 en Ile-de-France mi-2020, ont été dérobées, a annoncé l’Assistance publique – Hôpitaux de Paris (AP-HP), ce mercredi.

Cette attaque a été « conduite au cours de l’été et confirmée le 12 septembre », a indiqué dans un communiqué l’AP-HP, qui a ajouté avoir porté plainte mercredi auprès du procureur de Paris.
Les faits ont également été signalés à la Commission nationale de l’informatique et des libertés (Cnil) et l’Agence nationale de sécurité des systèmes d’information (Anssi).

_________________________________________
Edit du 22/09/2021 La source du vol de données


Des informations sensibles envoyées manuellement plutôt qu’automatiquement à la Sécurité sociale, une négligence dans leur suppression et une faille inconnue dans un logiciel : telle est la combinaison qui a permis l’attaque subie cet été par l’AP-HP.

Le 15 septembre, lorsque l’organisme qui chapeaute les hôpitaux franciliens annonce l’incident, il ne précise pas un point crucial et inquiétant : les données dérobées ont été, un temps, publiées en libre accès sur Internet. C’est ce qu’a ensuite précisé Martin Hirsch, vendredi 17 septembre, dans un long courriel envoyé, comme la loi l’exige, à chacune des personnes concernées par cette fuite de données.

Hitachi Vantara distribue à ses clients, depuis dimanche 19 septembre 2021 , un correctif de sécurité pour une vulnérabilité inédite, une 0-day, ayant affecté" Hitachi Content Platform Anywhere (HCP Anywhere"). C’est celle-là qui au cœur du service Dispose de l’AP-HP.
Source : https://www.hitachivantara.com/blog/hcp ... -resolved/


Autre source : Le Monde
https://www.lemonde.fr/pixels/article/2 ... 08996.html

"Le service Dispose a été utilisé pour le transfert de données de tests entre juin et octobre 2020, avant la mise en œuvre du SI-DEP, utilisé notamment par l’Assurance-maladie pour le contact-tracing.
L AP-HP a été avertie par l’Agence nationale pour la sécurité des systèmes d’information (Anssi) le 30 août de l’existence d’une faille dans le service Dispose.

L’AP-HP précise avoir été avertie de la publication des données le 9 septembre. Les données ont donc été accessibles pendant au moins cinq jours

Aujourd’hui, cet envoi vers l’Assurance-maladie est automatique et sécurisé. Mais en septembre 2020, le dispositif d’envoi n’est pas encore fonctionnel. Les salariés de l’AP-HP doivent donc envoyer manuellement à leurs confrères de l’Assurance-maladie les données nécessaires. Pour cela, ils ont recours à un service interne à l’AP-HP, appelé Dispose et utilisé par les salariés du groupement hospitalier pour s’échanger divers fichiers.

Il s’agit de l’équivalent des services Box ou Dropbox, hébergé par les serveurs de l’AP-HP : ses agents y déposent les données, qui peuvent ensuite être récupérées par l’Assurance-maladie au moyen d’un lien. Pour chaque envoi, un mot de passe est transmis aux équipes de l’Assurance-maladie par un canal séparé. C’est le cas pour cet envoi, qui concerne des données de tests, principalement de Franciliens, réalisés sur une période de cinq mois, entre juin et octobre 2020.

Cela n’est pas prévu par le texte du décret instaurant Sidep et implique des risques en matière de protection des données. L’AP-HP se défend, mettant en avant les « mesures de chiffrement » des données présentes sur cette plate-forme, qui dispose en outre « de la certification “hébergement de données de santé” », et expliquant avoir adopté cette solution « plutôt que de mettre en danger le contact tracing et d’affaiblir les outils de pilotage de la dynamique épidémique ».

La Commission nationale de l’informatique et des libertés (CNIL), qui surveille Sidep comme le lait sur le feu, a été informée de ce mode de fonctionnement, n’y a rien trouvé à redire et « a vérifié que les fonctionnalités basiques d’authentification étaient bien mises en place », explique au Monde l’institution. L’enquête ouverte par la CNIL « devra permettre de déterminer si l’AP-HP s’est acquittée de ses obligations en matière de sécurité informatique pour cet outil », précise-t-elle.

En théorie, après chaque transfert, les données étaient supprimées manuellement. Le lien permettant l’accès à celles-ci était en outre censé s’autodétruire après sept jours. Les données placées sur Dispose en septembre 2020 sont pourtant restées pendant un an sur les serveurs de l’organisme. Concrètement, quiconque disposait du lien pouvait accéder à la page du téléchargement. Seul un mot de passe empêchait l’exfiltration des données. Comment expliquer cette défaillance ? « L’enquête interne en déterminera les raisons », précise-t-on à l’AP-HP.

C’est ici qu’intervient une faille informatique. L’AP-HP est avertie de son existence par l’Anssi le 30 août dernier. Dans la foulée, dès le 2 septembre, le parquet de Paris ouvre une enquête préliminaire autour de plusieurs chefs d’accusation de piratage informatique et confie l’enquête aux policiers spécialisés en cybercriminalité de la préfecture de police."



__________________________
Un service de partage de fichiers piraté

Les pirates n’ont pas visé le fichier national des tests de dépistage (SI-DEP) mais « un service sécurisé de partage de fichiers », utilisé « de manière très ponctuelle en septembre 2020 » pour transmettre à l’Assurance maladie et aux agences régionales de santé (ARS) des informations « utiles au "contact tracing" ».



Ces données incluent

Code : Tout sélectionner

-  l’identité
-  le numéro de Sécurité sociale
- les coordonnées des personnes testées 
ainsi que

l’identité et les coordonnées des professionnels de santé les prenant en charge, les caractéristiques et le résultat du test réalisé », mais ne contiennent « aucune autre donnée médicale ».

Les personnes concernées informées
Au total, « les fichiers dérobés concernent environ 1,4 million de personnes, presque exclusivement pour des tests réalisés mi-2020 en Ile-de-France », précise l’AP-HP, assurant que les intéressés « seront informés individuellement dans les prochains jours ».

ORIGINE


L’institution reconnaît que « le vol pourrait être lié à une récente faille de sécurité de l’outil numérique » qu’elle utilise pour le partage de fichiers, dont « les accès ont été immédiatement coupés en attendant la fin des investigations ».

Ces dernières « se poursuivent pour déterminer l’origine et le mode opératoire de cette attaque ». Le ministère de la Santé a indiqué avoir lui aussi « décidé de porter plainte », afin « que toute la lumière soit faite sur cette fuite, ses conséquences, et que toutes les mesures nécessaires soient prises pour qu’un tel événement ne se reproduise pas ».

L’attaque a porté sur un service sécurisé de partage de fichiers hébergé et utilisé par l’AP-HP, qui lui permet d’assurer le stockage et le partage sécurisé de fichiers, en interne et en externe.

Ce service a été utilisé de manière très ponctuelle en septembre 2020 pour transmettre à l’Assurance Maladie et aux Agences Régionales de Santé des données issues de laboratoires de biologie médicale utiles au suivi et à l’accompagnement des personnes (« contact tracing »).

Cette option a servi en complément du système d’information national de dépistage (SI-DEP), dont l’AP-HP assure la maîtrise d’œuvre pour le compte du ministère des Solidarités et de la Santé et qui rencontrait des difficultés techniques dans ses outils de transmission.
Le système d’information national de dépistage (SI-DEP) n’est pas concerné par l’attaque.


A noter et sans lien avec ce qui précède :

Michel Barnier, ancien commissaire européen, propose de passer à la carte vitale biométrique afin de supprimer la fraude à la Sécurité Sociale. «
« Pour faire cesser un certain nombre de fraudes, toute personne qui dispose d’une carte vitale soit obligée de la changer, pour une carte biométrique » annonce-t-il. « Il y a beaucoup plus de cartes Vitale que de citoyens français, ce qui n’est pas normal » poursuit-il. « Pour que tout cela soit possible, il faut que nous ayons un changement de la constitution et donc je vais consulter le peuple » ajoute-t-il.
_______________



Edit du 18/09/2021


Lettre d'excuses de l'APHP et signée par Martin HIRSCH, Directeur de l'AP HP

Les entêtes indiquent bien l'origine avec en plus (j'indique, ce qui permet de vérifier en cas de phishing)

[email protected]
[email protected]

Pour le reste mon module d'empreinte DKIM a bien reconnu la signature

MAIS sur une adresse mail (du moins me concernant) sans identité et sans rapport possible avec les données médicales, mais que j'ai donné pour un test sérologique, (un alias) je reçois un mail non chiffré qui indique que mes données sont volées, et qui en plus fait état de mon identité



En plus, il y a 2 erreurs dans ce document

- Il n'y a pas que les tests PCR mais AUSSI les tests sérologiques, qui ne sont pas des tests de dépistages
- Il est dit "lorsque renseignés".. Sauf que cette partie est obligatoire, puisque il faut fournir ces données de contact ne seraient ce que pour obtenir les résultats
Le paradoxe c'est que dans le cas du test sérologique pour un labo, les données de contact sont données pour la réception des résultats et il n'est nullement stipulé que ces données sont conservées ensuite par le labo à d' autres fins ET transmises ailleurs (du moins en 2020)

En plus pourquoi les tests négatifs sont conservés ?


Bref même dans le message d'excuses il y a des erreurs


Ce que l'on apprend par contre :

Le service "sécurisé de partage de fichiers (...) Des résultats d'examen de dépistage Covid 19 y étaient stockées, à titre exceptionnel
(...) ce service à été utilisé de manière très ponctuelle en septembre 2020



"Très ponctuelle" ne veut rien dire
Des tests récemment, ont permis de mettre en avant qu'un site subit des attaques de bots (et même attaque DDoS pour le faire tomber) pour déterminer des failles entre ..7 et 9 minutes (parfois moins) juste après sa mise en ligne



On apprend que les données étaient sur une plate forme de téléchargement, hébergée en nouvelle zélande et dont l'accès a été coupé le 14 septembre
Là aussi, ils ne savent pas que fermer un site etc n'empêche pas la diffusion ou c'est du mensonge par omission pour rassurer les gens ?
(Au passage il s'agit de MEGA nouveau nom de Mega Upload)

En plus le vol date de ... Septembre 2020 !
Il aura fallu un an pour s'en apercevoir(suite à l'affaire France connect on commence à s'inquiéter ?)
Les données, si exploitées le sont depuis longtemps


En plus on ouvre le parapluie...
A la lecture on voit bien qu'on minimise l'impact du vol de données, au motif que les données médicales n'ont pas été compromises.
Par contre le vol de nos données personnelles c'est permis, par négligence et/ou incompétence
(on a droit ensuite aux toujours mêmes conseils depuis des années)

Le pire c'est qu'il est dit "Soyez vigilants !".... Et eux alors ? Ils font quoi pour éviter les vols de données ?


En plus dans le mot d'excuse ne figure pas le fait qu'avec le vol de nos données, fuitent EGALEMENT l’identité et les coordonnées des professionnels de santé qui ont pris en charge les tests

Par contre cela parle de contact tracing mais pourquoi garder plusieurs mois les résultats NEGATIFS ?
Mieux, des gens ont reçu la lettre, mais n'ont JAMAIS effectué de tests pendant la période concernée


Du coup cela permet de déterminer que les données en circulation comprennent (on a le détail meme si on se doutait du contenu)

Code : Tout sélectionner

Nom prénom
Date de naissance
Sexe
Numéro de sécurité sociale
Adresse postale
Téléphone
Adresse electronique
Résultat de test

Quant au détail pour les professionnels de santé ils peuvent s’asseoir dessus ?

2021-09-18_162350.png

Edit du 21/09/2021


Sur son compte Twitter l'APHP indique et re twweté par Martin HIRSCH:

"Après échanges avec @ameli_actu nous confirmons que la connaissance du N° de sécu sociale et d'autres éléments figurant parmi ceux ayant fait l'objet de cette fuite de données comme l'adresse mail ou le numéro de téléphone ne suffisent pas pour accéder au compte Ameli.
Pour accéder au compte Ameli, il faut disposer d’un code personnel numérique ou alpha numérique."

2021-09-21_222220.png


Sauf que de mon point de vue, je me soucie plus d’une usurpation d’identité, puisque notre fiche avec les données personnelles à fuité à cause d'une négligence et/ou incompétence, et cela ne semble pas être la vision de l'APHP ni de son Directeur

On leur montre la lune, ils regardent le doigt qui désigne la lune

-----

A savoir, il y a 2,6 millions de cartes Vitale surnuméraires
252 porteurs de cartes Vitale ont plus de 120 ans (une bonne partie sont à l'étranger)

On voit que la lutte contre la contrefaçon à la carte vitale est aussi efficace que celle concernant le Pass Sanitaire
Les faussaires et les utilisateurs ont de beaux jours devant eux...

Comme disent les médecins (Ne concerne que le médecin libéral en cabinet Medical) : je n’ai pas le droit de vérifier l’identité d’un patient qui présente une carte vitale en consultation, même si l’âge semble aberrant, mais un serveur peut connaître mon nom et ma date de naissance si je veux boire un café en terrasse …." (pendant les vacances j'ai vu le patron du resto qui saluait chaque personne qui présentait son pass par un bonjour .. prénom"... ) De quel droit ?
Par contre à l hopital (suite aux fraudes je présume) on vous demande carte mutuelle, carte vitale et d identité...

2021-09-22_002112.jpg

Les paradoxes de la chose....



La carte vitale biométrique ayant été retoquée, on va avoir droit à la carte vitale dématérialisée

https://actu.fr/ile-de-france/paris_750 ... 96467.html

Où il est dit "Une fois l’application téléchargée, les utilisateurs devront saisir leur numéro de sécurité sociale, réaliser une capture vidéo de leur carte d’identité ainsi qu’un selfie vidéo. "

Et.. elles vont où les données ? Stockées chez qui ? Elle a été faite par qui l'appli ? etc

Vu les données absorbées par nos téléphones et qui partent un peu partout, sans compter le vol du portable... On peut se poser des questions sur la sécurité de la chose



Du reste ce mardi 22/09 on apprend que :

https://www.bfmtv.com/politique/le-qr-c ... 10313.html

"L’Élysée a confirmé ce mardi que c’est bien le QR code du pass sanitaire du président de la République Emmanuel Macron qui a été diffusé sur les réseaux sociaux. Des « dispositions particulières » vont être prises a indiqué l’Élysée.

Le QR code correspondant au pass sanitaire du chef de l’État a été diffusé sur les réseaux sociaux ce lundi. Une information confirmée par l’Élysée ce lundi. Quelques jours plus tôt, celui du Premier ministre Jean Castex a aussi été massivement partagé, après avoir été pris par une agence de presse photographique. Il a depuis été désactivé."


En fait la question que l'on peut se poser c'est : Est ce que du fait du poste qu'ils occupent, ils ont besoin d'un pass sanitaire (avec donc le QR code) dans leurs déplacements ? :-)
Son service de sécurité sait que meme si il le présente, en face il suffit d'avoir une autre appli que "TousAntiCovid Verif" afin de l'enregistrer ? (c'est la même chose lorsqu'on présente son pass sanitaire dans les lieux où c'est demandé, il faut avoir confiance en la personne à qui on le présente)

Le côté savoureux de la chose :

https://www.liberation.fr/checknews/est ... or=CS7-51-

"Contacté par CheckNews, l’Elysée n’a pas encore donné suite à nos sollicitations. De son côté, Matignon a profité de la fuite des deux pass pour rappeler que le QR code est un document personnel et sensible qu’il ne faut pas diffuser, de la même manière «qu’on ne diffuserait pas une photo de sa carte bancaire».

On ne le diffuse pas lorsqu'on doit le présenter un peu partout ?
On peut donc jouer sur les mots

De toutes les façons ce n'est pas cela qui va arrêter ce pass sanitaire puisque "pensé" depuis 2018 (corrigé au troisième trimestre 2019, pour la partie 2022, donc bien avant la crise Covid) , et ceux qui croient que cela sera terminé le 11 novembre n'ont toujours rien compris :-)

Site de l'union européenne https://ec.europa.eu/health/sites/defau ... ap_en.pdf (le WHO quifigure sur le côté gauche c'est l'OMS

Encore un an ou deux et ca sera couplé avec le passeport européen
Il manque juste la reco faciale pour sécuriser le tout, mais on y viendra


ET AILLEURS ?

Au Québec début septembre : "M. Éric Caire Ministre délégué à la T ... sifiable."

Il joue sur les mots car il peut etre volé

Preuve en est puisque sont QR Code, celui du 1er Ministre François Legault, de son ministre de la Santé Christian Dubé, de diverses personnes de l'assemblée nationale, d'une Maire .. sont dans la nature et exploités
Fin aout il avait été découvert une faille permettant en plus de se forger des codes QR, déjouant les mécanismes de vérification de l’application du gouvernement et une autre méthode, permettait de télécharger illicitement les codes QR des élus en devinant leur numéro d’assurance maladie



En fait c'est la fête du slip en France, et ailleurs ce n'est pas mieux



__________
Edit du 27/09/2021

On n' a pas de détails sur la source du hack, mais les données des Italiens sont aussi en vente et là on atteint les 𝟳.𝟰𝗺𝗶𝗹𝗹𝗶𝗼𝗻s de datas vaccinales sur le 𝗖𝗼𝘃𝗶𝗱𝟭𝟵 mise en vente sur un forum (noms, adresses, numéros de téléphone, numéros de sécurité sociale, dates de naissance et plus)
2021-09-27_134207.png


Concernant le vol de données de l'APHP

Comme le précise Numérama et le site Cybermalveillance

"Les personnes concernées qui seraient victimes d’une approche malveillante, par mail, SMS appel téléphonique, ou autre utilisant les données divulguées, et notamment leur numéro de sécurité sociale, sont invitées à déposer plainte en utilisant le formulaire de lettre plainte sans avoir besoin de se rendre dans un commissariat ou une gendarmerie.

Pour cela, il leur suffit de télécharger, remplir, enregistrer et renvoyer simplement par mail ce formulaire spécifique avec l’ensemble des preuves dont elles peuvent disposer à l’adresse [email protected] ou par courrier à la Brigade de Lutte Contre la Cybercriminalité (DRPJ Paris – BL2C 2021 – 160 36 rue du Bastion 75017 Paris)."


https://www.cybermalveillance.gouv.fr/t ... ectronique


Je précise qu'il ne s'agit pas d'un formulaire pré-renseigné ayant pour destination un dépôt de plainte CONTRE l'APHP pour négligence etc, mais d'un formulaire SI vous êtes victime d'une "'approche malveillante"

"Le procureur de la République du tribunal judiciaire peut aussi être contacté par courrier, relève Cybermalveillance. Le site signale aussi, si nécessaire, l’existence de l’association France Victimes, https://www.france-victimes.fr/ joignable au 116 006 (appel et service gratuits). Si vous entrez dans ces démarches, il est conseillé de garder précieusement toutes les preuves que vous avez à disposition, y compris par captures d’écran."

Source : https://cyberguerre.numerama.com/13423- ... faire.html


Edit :
Pour lecture : Les enjeux de nos données de santé
https://www.internetactu.net/2021/11/10 ... -de-sante/
Vous ne pouvez pas consulter les pièces jointes insérées à ce message.
- Only Amiga... Was possible ! Lien https://forum.malekal.com/viewtopic.php?t=60830
- « Un problème sans solution est un problème mal posé. » (Albert Einstein)
- « Tous les patients mentent » (Théorème du Docteur House) Que ce soit consciemment ou inconsciemment
- Jeff Goldblum dans Informatic Park, professeur adepte de la théorie du chaos : « Vous utilisez un crack, un keygen ? Qu’est-ce qui pourrait mal tourner?? »
- Captcha : Il s'agit d'un ordinateur qui demande à un humain de prouver.. qu'il n'est pas un ordinateur ! (Les prémices du monde de demain)
- Dans le monde il y a deux sortes de gens : Ceux qui font des sauvegardes et .. Ceux qui vont faire des sauvegardes (Extrait du Credo.. Telle est la voie ! )
Avatar de l’utilisateur
Parisien_entraide
Messages : 20289
Inscription : 02 juin 2012 20:48
Localisation : Thomas Anderson : Je suis dans et en dehors de la matrice :-)

Vol de données FORTINET

par Parisien_entraide »

Fortinet LOGO.png


FORTINET (voir également la page précédente sur FORTINET)


Il a été divulgué une liste de près de 500 000 noms de connexion et mots de passe VPN Fortinet qui auraient été extraits d'appareils exploitables l'été dernier.

La liste des informations d'identification Fortinet a été divulguée gratuitement par un acteur du monde du hack, connu sous le nom d'"Orange", qui est l'administrateur du nouveau forum de piratage RAMP et un ancien opérateur de l'opération Babuk Ransomware.
https://cyberguerre.numerama.com/12559- ... sevir.html

Cet acte "généreux" a surement été fait pour promouvoir le forum de piratage RAMP et l'opération Groove ransomware-as-a-service.

Fortinet RAMP.png

Le fichier montre qu'il contient des informations d'identification VPN pour 498 908 utilisateurs sur 12 856 appareils.

Plusieurs pays sont touchés, dont la France, à hauteur de 6,15 %

Dans le lot, la France figure en bonne position, quasiment à égalité des Etats-Unis : près de 2800 adresses IP pointant vers l’Hexagone, contre plus de 3300 pour le second.

Il est difficile de savoir qui travaille avec Fortinet et surtout avec quels produits car la gamme est vaste, mais par exemple Orange Cyberdefense et Fortinet travaillent ensemble

Une vue d'ensemble à travers une des Stés qui implante les solutions Fortinet. Cela donne une idée du problème...
https://www.celeste.fr/societe/nos-clie ... rtenaires/


forti net france1.png


Toutes les adresses IP vérifiées émanent des serveurs VPN Fortinet.
A la base il s'agit de la vulnérabilité Fortinet CVE-2018-13379 (corrigée en mai 2019) qui a été exploitée pour collecter ces informations d'identification.
À cette époque, Fortinet avait émis un avis PSIRT et communiqué directement avec les clients (avec des rappels et ce jusqu'en juin 2021)

Certains ont le voit donc, n'ont pas réagi


Comme l'indique FORTINET

https://www.fortinet.com/blog/psirt-blo ... redentials

Si vous êtes administrateur de serveurs VPN Fortinet, vous devez supposer que la plupart des informations d'identification répertoriées sont valides et prendre des précautions.
Outre le changement des mots de passe et l’application des mesures décrites ci dessus, les administrateurs sont aussi invités à passer en revue les journaux de connexion et d’activité, pour détecter un éventuel souci, et de vérifier l’état du système d’information

Le FBI enquête, car il faut se rappeler que par le passé, les exploits de Fortinet ont été utilisés pour pirater les systèmes de soutien aux élections américaines

Détails ici https://www.advintel.io/post/groove-vs- ... r-workings

https://www.solutions-numeriques.com/ca ... -fortinet/




Ce que l'on trouve avec un message d'avertissement :

#Adresses IP extraites de fichiers partagés par les gens de RAMP/Groove, prétendument toutes victimes de l'exploitation Fortinet ou de la force brute
# DNS inversé effectué avec l'ensemble de données Rapid7 Project Sonar - peut contenir des faux positifs en raison des changements d'espace IP
# Les noms d'utilisateur et mots de passe existent pour toutes les adresses IP, mais sont supprimés pour respecter les entreprises et leur vie privée


https://gist.github.com/crypto-cypher/f ... b001dc4bdc

Extraits :

Code : Tout sélectionner

80.13.127.13:["lputeaux-658-1-137-13.w80-13.abo.wanadoo.fr"] 
80.13.99.40:["lmontsouris-658-1-93-40.w80-13.abo.wanadoo.fr"] 
80.14.74.209:["claimshr.fr","hr-claims-admin.qualytrust.com","laubervilliers-657-1-140-209.w80-14.abo.wanadoo.fr"] 
80.14.76.183:["laubervilliers-657-1-142-183.w80-14.abo.wanadoo.fr"] 
80.15.117.206:["laubervilliers-658-1-120-206.w80-15.abo.wanadoo.fr"] 
80.15.154.187:["f4m.ninja","laubervilliers-657-1-19-187.w80-15.abo.wanadoo.fr","sound-buzz.media"] 
80.15.195.22:["laubervilliers-657-1-22-22.w80-15.abo.wanadoo.fr"] 
80.15.198.106:["lmontsouris-657-1-100-106.w80-15.abo.wanadoo.fr","mx1.saintsaturnin.com","mx2.saintsaturnin.com"] 
80.15.203.103:["lputeaux-658-1-166-103.w80-15.abo.wanadoo.fr"] 
80.15.216.22:["lmontsouris-656-1-67-22.w80-15.abo.wanadoo.fr"] 
80.15.26.131:["laubervilliers-658-1-125-131.w80-15.abo.wanadoo.fr"] 
Vous ne pouvez pas consulter les pièces jointes insérées à ce message.
- Only Amiga... Was possible ! Lien https://forum.malekal.com/viewtopic.php?t=60830
- « Un problème sans solution est un problème mal posé. » (Albert Einstein)
- « Tous les patients mentent » (Théorème du Docteur House) Que ce soit consciemment ou inconsciemment
- Jeff Goldblum dans Informatic Park, professeur adepte de la théorie du chaos : « Vous utilisez un crack, un keygen ? Qu’est-ce qui pourrait mal tourner?? »
- Captcha : Il s'agit d'un ordinateur qui demande à un humain de prouver.. qu'il n'est pas un ordinateur ! (Les prémices du monde de demain)
- Dans le monde il y a deux sortes de gens : Ceux qui font des sauvegardes et .. Ceux qui vont faire des sauvegardes (Extrait du Credo.. Telle est la voie ! )
Avatar de l’utilisateur
Parisien_entraide
Messages : 20289
Inscription : 02 juin 2012 20:48
Localisation : Thomas Anderson : Je suis dans et en dehors de la matrice :-)

Vol de données voyageurs THAILANDE

par Parisien_entraide »

2021-09-23_154820_0.jpg


Une base de données contenant les informations personnelles de 106 millions de visiteurs internationaux en Thaïlande a été exposée en ligne
Source : https://www.comparitech.com/blog/inform ... data-leak/


Pour résumer : Si vous êtes allé en Thailande ces 10 dernières années vous figurez dans la base


2021-09-23_154655.png




Chronologie de l'exposition


Les dates sur les dossiers allaient de 2011 à nos jours.


- 20 août 2021- La base de données a été indexée par le moteur de recherche Censys.
- 22 août 2021 – Bob Dyachenko expert en sécurité qui dirige les recherches sur la cybersécurité de Comparitech, a découvert les données non protégées et a immédiatement pris des mesures pour vérifier et alerter le propriétaire
- 23 août 2021 – Les autorités thaïlandaises ont rapidement reconnu l'incident et ont rapidement sécurisé les données.

A SAVOIR :

- L'adresse IP de la base de données est toujours publique, mais la base de données elle-même a été remplacée par un pot de miel (honey pot) Quiconque tente d'accéder à cette adresse reçoit désormais le message : "Ceci est un pot de miel, tous les accès ont été enregistrés". [sic]


La base de données Elasticsearch totalisait environ 200 Go et contenait plusieurs actifs, dont une collection de plus de 106 millions d'enregistrements, dont chacun comprenait tout ou partie des informations suivantes :

Code : Tout sélectionner

 
    Date d'arrivée en Thaïlande
    Nom et prénom
    Sexe
    Numéro de passeport
    Statut de résidence
    Visa type
    Numéro de carte d'arrivée thaïlandaise
https://www.thailande-fr.com/tourisme/1 ... e-piratees
Vous ne pouvez pas consulter les pièces jointes insérées à ce message.
- Only Amiga... Was possible ! Lien https://forum.malekal.com/viewtopic.php?t=60830
- « Un problème sans solution est un problème mal posé. » (Albert Einstein)
- « Tous les patients mentent » (Théorème du Docteur House) Que ce soit consciemment ou inconsciemment
- Jeff Goldblum dans Informatic Park, professeur adepte de la théorie du chaos : « Vous utilisez un crack, un keygen ? Qu’est-ce qui pourrait mal tourner?? »
- Captcha : Il s'agit d'un ordinateur qui demande à un humain de prouver.. qu'il n'est pas un ordinateur ! (Les prémices du monde de demain)
- Dans le monde il y a deux sortes de gens : Ceux qui font des sauvegardes et .. Ceux qui vont faire des sauvegardes (Extrait du Credo.. Telle est la voie ! )
Avatar de l’utilisateur
Parisien_entraide
Messages : 20289
Inscription : 02 juin 2012 20:48
Localisation : Thomas Anderson : Je suis dans et en dehors de la matrice :-)

Vol de données : Assurance Maladie (CNAM)

par Parisien_entraide »

2022-03-19_174432.jpg


Je ne fais plus trop le suivi non par manque de matière, mais par manque de temps mais à l'heure où on veut nous imposer "Mon espace santé"
https://www.aide-sociale.fr/compte-mon-espace-sante/ il y a des actualités qui donnent à réfléchir...

Aujourd'hui on apprend qu'il y a eu les données de 510 000 personnes qui ont fuité suite à un Piratage de l’Assurance Maladie (CNAM)

Source : https://assurance-maladie.ameli.fr/site ... elipro.pdf

L’Assurance Maladie informera individuellement les personnes concernées.

Cependant l'attaque a été détectée en fin de semaine dernière, une plainte déposée le jeudi 17 mars, et la veille la la Commission nationale de l’informatique et des libertés (CNIL)


A priori il semblerait que ce ne soit pas Ameli qui a été piraté directement, mais que cela a été réalisé par le biais de 19 professionnels de santé (en fait des Pharmaciens)
L'assurance maladie indique des "connexion de personnes non autorisées à des comptes amelipro"

"L’Assurance Maladie indique que 19 organismes médicaux ont été ciblés par les pirates. En prenant le contrôle de leurs boîtes mail (sans doute en leur demandant leurs mots de passe grâce à du phishing), ils ont pu réussir à se connecter au portail réservé aux professionnels de santé, celui sur lequel sont listés les patients (sûrement en cochant « mot de passe oublié »)."

Néanmoins que la faile soit d'origine humaine le résultat est le même


QUELLES SONT LES DONNEES VOLEES ?

L’Assurance Maladie indique que son service « Infopatient » a été ciblé. Les hackers ont obtenu les données d’identité

- Nom, prénom
- Date de naissance
- Sexe
- Numéros de sécurité sociale
- Des données relatives aux droits (médecin traitant, attribution de la complémentaire santé solidaire ou de l’aide médicale d’Etat…)

Elle promet qu’aucune information de contact (adresse, numéro de téléphone) ou bancaire n’a été obtenue.




ET LA SUITE ?

En attendant de boucler son enquête, l’Assurance Maladie a indiqué porter plainte et bloquer les adresses IP des auteurs de l’attaque. Dans les prochains jours, elle appellera les professionnels de santé à renforcer la sécurité de leurs comptes (on espère en renforçant la double authentification) et contactera les victimes de cette opération, à qui elle indiquera ce qu’ils risquent vraiment. D’ici là, le nombre de 510 000 personnes pourrait être réévalué.

Source ( italiques) https://www.numerama.com/cyberguerre/89 ... fuite.html


Vu que j'ai croisé des personnels de la santé qui utilisent leur ordinateur pro (relié au boitier carte vitale) à des fins personnelles (ils n'ont pas les moyens d'en acheter un autre ?) ce serait AUSSI sur ce biais qu'il faudrait sensibiliser (le mélange des genres) parce que des idiots qui cliqueront pour acheter le dernier Iphone à un euro, par appât du gain, il y en aura toujours et cela ne se soigne pas, idem pour ceux qui cliquent sur tout ce qu'ils voient passer dans leur boite mail
Pour les autres méthodes de phishing c'est une autre histoire il peut être facile de se faire avoir, mais dans ce cas là il y a des précautions à prendre en amont et ce bien avant de recevoir des mails frauduleux si l'on est quelqu'un de distrait
Vous ne pouvez pas consulter les pièces jointes insérées à ce message.
- Only Amiga... Was possible ! Lien https://forum.malekal.com/viewtopic.php?t=60830
- « Un problème sans solution est un problème mal posé. » (Albert Einstein)
- « Tous les patients mentent » (Théorème du Docteur House) Que ce soit consciemment ou inconsciemment
- Jeff Goldblum dans Informatic Park, professeur adepte de la théorie du chaos : « Vous utilisez un crack, un keygen ? Qu’est-ce qui pourrait mal tourner?? »
- Captcha : Il s'agit d'un ordinateur qui demande à un humain de prouver.. qu'il n'est pas un ordinateur ! (Les prémices du monde de demain)
- Dans le monde il y a deux sortes de gens : Ceux qui font des sauvegardes et .. Ceux qui vont faire des sauvegardes (Extrait du Credo.. Telle est la voie ! )
Avatar de l’utilisateur
Parisien_entraide
Messages : 20289
Inscription : 02 juin 2012 20:48
Localisation : Thomas Anderson : Je suis dans et en dehors de la matrice :-)

Re: 150 millions de données d’internautes français sont en vente

par Parisien_entraide »

En attendant des précisions sur FRANCECONNECT (La connexion à Ameli, notamment, est suspendue à cause d'une série de fraudes via le site FranceConnect.)
FranceConnect permet la connexion à

2022-09-05_140230.jpg

et le piratage de DAMART (qui pourraient concerner nos mères et grand mères même si l'enseigne essaie de rajeunir sa clientèle)
damart.jpg



Voici celui de la POSTE MOBILE qui est confirmé
poste mobile.jpg

Pour rappel : La Poste Telecom ou La Poste Mobile est un opérateur de téléphonie mobile virtuel français utilisant l'infrastructure du réseau SFR :

La Poste Mobile avait fait l'objet d'une attaque en juillet ; mais on n'avait pas beaucoup de précisions
Maintenant ce sont les données personnelles de 533 000 clients qui sont diffusés

LES DONNEES VOLEES ET DIFFUSEES

- les numéros de comptes bancaires et IBAN
- dates de naissance
- adresses électroniques
- sexe,
- identités
- numéros de téléphone
- adresses physiques.
Vous ne pouvez pas consulter les pièces jointes insérées à ce message.
- Only Amiga... Was possible ! Lien https://forum.malekal.com/viewtopic.php?t=60830
- « Un problème sans solution est un problème mal posé. » (Albert Einstein)
- « Tous les patients mentent » (Théorème du Docteur House) Que ce soit consciemment ou inconsciemment
- Jeff Goldblum dans Informatic Park, professeur adepte de la théorie du chaos : « Vous utilisez un crack, un keygen ? Qu’est-ce qui pourrait mal tourner?? »
- Captcha : Il s'agit d'un ordinateur qui demande à un humain de prouver.. qu'il n'est pas un ordinateur ! (Les prémices du monde de demain)
- Dans le monde il y a deux sortes de gens : Ceux qui font des sauvegardes et .. Ceux qui vont faire des sauvegardes (Extrait du Credo.. Telle est la voie ! )
Avatar de l’utilisateur
Parisien_entraide
Messages : 20289
Inscription : 02 juin 2012 20:48
Localisation : Thomas Anderson : Je suis dans et en dehors de la matrice :-)

Vol de données : MCDonald's (MacDo)

par Parisien_entraide »

Petite piqure de rappel (comme avec les applications Android vérolées), puisque chaque semaine il y aurait de quoi faire une news sur les données piratées en France

Là, pas de bol pour les aficionados de la marque, c'est MCDonald's France qui été attaqué

methane.jpg


La fuite proviendrait directement de l'application mobile (il y a une version Fr et US, en lien avec le RGPD je présume)
https://play.google.com/store/apps/deta ... l=fr&gl=US

Les utilisateurs ont quelques soucis depuis le vol, mais il n'y a AUCUN mot de la part de MC DO concernant le piratage et surtout conduite à tenir


A l'origine de la découverte : ZATAZ https://www.zataz.com/piratage-pour-mc-donalds-france/

"Il s'agit d'un fichier de 385 Mo qui aurait été subtilisé aux services de McDonald's France. "

Ce dernier contenait pas moins de 3 millions de données,
de ce qui semble être des informations de clients des restaurants McDonalds France. Je précise bien « semble être » car les informations sont chiffrées, illisibles sans une clé.
parmi lesquelles les noms et prénoms des clients, leur date d'anniversaire, les numéros de téléphone, les adresses mail, les comptes PayPal…
Le hacker a pu récupérer les données mais celles ci sont chiffrées (du moins c'est ce qu'il indique), donc il demande de l'aide à d autres hackers avec un
“si quelqu’un trouve comment déchiffrer (le fichier), il aura un bisou"

Ce n'est pas la première fois que l'enseigne subit un vol de données puisqu'en 2021
https://www.wsj.com/articles/mcdonalds- ... 1623412800
et en plus récent, cette année, des "petits malins" s'amusent à usurper les points de fidélité des clients, profitant de failles
Cela rappelle l'affaire de 2020 où des hackers allemands ont découvert une faille dans l'application qui permettait de commander de la nourriture sans limite et totalement gratuitement.

On s'aperçoit en fait que tous les ans il y a un soucis avec l'application qui est donc à oublier

__________
Aller , une astuce que personne ne connait et qui pourrait vous aider en cas de manque de place
astuce mc do.jpg
Vous ne pouvez pas consulter les pièces jointes insérées à ce message.
- Only Amiga... Was possible ! Lien https://forum.malekal.com/viewtopic.php?t=60830
- « Un problème sans solution est un problème mal posé. » (Albert Einstein)
- « Tous les patients mentent » (Théorème du Docteur House) Que ce soit consciemment ou inconsciemment
- Jeff Goldblum dans Informatic Park, professeur adepte de la théorie du chaos : « Vous utilisez un crack, un keygen ? Qu’est-ce qui pourrait mal tourner?? »
- Captcha : Il s'agit d'un ordinateur qui demande à un humain de prouver.. qu'il n'est pas un ordinateur ! (Les prémices du monde de demain)
- Dans le monde il y a deux sortes de gens : Ceux qui font des sauvegardes et .. Ceux qui vont faire des sauvegardes (Extrait du Credo.. Telle est la voie ! )
Avatar de l’utilisateur
Parisien_entraide
Messages : 20289
Inscription : 02 juin 2012 20:48
Localisation : Thomas Anderson : Je suis dans et en dehors de la matrice :-)

Re: 150 millions de données d’internautes français sont en vente

par Parisien_entraide »

Source : https://whizcase.com/dark-web-social-media-prices/


Si vous pensez que vos données personnelles volées, issues des réseaux sociaux valent de l'or... Vous vous trompez
En reliant cela à la news précédente, comme il est dit dans la source, c'est le prix d'un repas chez Mc DO :-)

Curieusement il manque des données comme les comptes de jeux ORIGIN, STEAM etc, les comptes de VPN également très prisés et d'autres
Les prix sont pourtant trouvables sur les sites de vente

2022-10-19_191159.jpg


Ces données ont été extraites du dark web par Whizcase, entre janvier et septembre 2022. (Il y a beaucoup plus de détails dans le lien source)


Pour seulement 127 $, on peut acheter un compte piraté sur tous les principaux réseaux sociaux.

2022-10-19_190648.jpg



RESEAUX SOCIAUX

Reddit : 6 dollars
TikTok : 8 dollars
Pinterest : 9 dollars
Twitter : 10 dollars
Snapchat : 11 dollars
Instagram : 12 dollars
Discord : 12 dollars
Facebook : 14 dollars
LinkedIn : 45 dollars (parce que le réseau social s’adresse à une clientèle professionnelle.)

2022-10-19_185635.jpg


Mais tout cela c'est le prix au détail car comme il est dit
La plupart des fournisseurs vendent des informations d'identification en gros, et il n'est pas rare de voir une offre d'achat de centaines de milliers de comptes pour un prix relativement faible.

Autres détails


2022-10-19_185651.jpg
De nombreux pirates utilisent des comptes piratés pour créer des "fermes de robots avancées" pour la manipulation de l'engagement sur les réseaux sociaux plutôt que de vendre leur "trésor".

L'avantage de cette méthode par rapport à la création de comptes de robots directs est que les comptes volés appartenaient auparavant à de véritables individus, ce qui rend les opérations de manipulation considérablement plus difficiles à identifier pour les réseaux sociaux.

Selon l'analyse, l'achat d'un engagement sur les réseaux sociaux est relativement peu coûteux. Pour environ 25 $, on pourrait acheter 1 000 retweets Twitter à partir de ce qui semble être des comptes authentiques.

Pour environ 8 $, on peut acheter 1 000 likes Facebook pour une page ou une publication.
Pour quelques dollars de plus, il est souvent possible de sélectionner le pays d'origine pour les Likes ou les retweets.

De plus, nous pourrions supposer que la majorité des services sur Google qui offrent un engagement payant sur les réseaux sociaux proviennent de la même source : le dark net.

Cela démontre l'importance de faire preuve de prudence lors de la visualisation de contenu populaire ou très engageant sur les réseaux sociaux. Quelqu'un peut rendre un profil ou un message extrêmement populaire en dépensant moins de cent dollars.



COMMUNICATION


Gmail 45 $
WhatsApp 18 $
Zoom 10 $
Skype 8 $
Télégramme 6 $
Signal 6 $




DIVERTISSEMENT


Apple Musique 15 $
Disney+ 14 $
Netflix 12 $
Spotify 12 $
Hulu 11 $
Twitch 11 $
HBO Max 10 $
Amazon Prime Vidéo 9 $
SoundCloud 6 $





AUTRES


Patreon $7
Quora $4




PAR PAQUET DE MILLE (Prix de gros)

Twitter Retweets $25
Twitch followers $12
Instagram likes $11
Facebook likes $8
Instagram followers $6




------------------------------

Actualisation au 09/01/2024


Source : https://www.numerama.com/cyberguerre/12 ... rkweb.html


Extraits :

- 235 millions d’adresses mail reliées à un compte Twitter ont été vendues pour moins de 2 euros sur un forum de hackers ce 4 janvier 2023.

- Un numéro de téléphone, une adresse mail, cette donnée a peu de valeur, d’abord parce que les réseaux sociaux la vendent eux-mêmes pour le ciblage publicitaire. Les géants du marché doivent payer des amendes de plusieurs centaines de millions quasi annuellement pour le manque de protection des infos qu’on leur confie », explique Damien Frey, directeur France de Varonis, une société de logiciel de cybersécurité.

- Une liste fraiche — et non recyclée — de 10 millions d’adresses mail est généralement vendue autour de 100 euros. Une fois vendue, son prix baisse jusqu’à être gratuit après que le fichier en question a été trop échangé entre les malfaiteurs. À partir de là, donner notre numéro de téléphone ou notre adresse mail dans la rue à un étranger n’aura pas plus de conséquences.


- Le marché s’est donc adapté à cette surabondance de data. « Le mail ou le numéro de téléphone est facilement accessible. Le pirate va ensuite chercher des détails annexes. Il ira voir si vous ou vos collègues ont fait des voyages récemment, ou encore si vous avez des passions. Avec ces infos en main, il pourra donner un contexte et légitimer son message de phishing.

- « Les mots de passe restent très intéressants, par exemple. À partir d’une seule fuite, le malfaiteur tentera de se connecter à tous les autres comptes possibles puisque les internautes réutilisent régulièrement la même combinaison » ajoute-t-il. Ainsi, certaines bases de données professionnelles — telles que les identifiants des employés — sont vendues pour plusieurs dizaines de milliers d’euros, car le hacker peut facilement rentabiliser l’attaque en frappant l’entreprise avec un ransomware dans la foulée.

- Le prix d’une donnée varie naturellement en fonction de son degré de confidentialité. Les attaques par ransomware, la méthode la plus rentable pour les pirates aujourd’hui, permet d’abord d’exiger une rançon à la victime, mais également de revendre les informations en cas de refus. « Ce n’est plus tant la volumétrie qui inquiète les experts, mais la sensibilité du fichier en ligne. Les nombreuses attaques contre les hôpitaux montrent qu’il y a un intérêt désormais à dérober des infos de santé, en plus de la panique qu’engendre la paralysie d’un établissement de ce type. Les rapports de santé d’un sportif de haut niveau ou d’un politique peuvent intéresser beaucoup de monde », indique Damien Frey.

- Les données bancaires sont également un bien recherché. Le numéro d’une carte avec le code CCV à l’arrière est vendu entre 15 euros et 25 euros selon la banque et le pays, estime Daily Dark Web. « Des victimes d’une fuite d’infos bancaire ont remarqué des achats à hauteur de 49,85 euros sur leur compte. Sûrement pour éviter de dépasser un seuil à partir duquel l’établissement doit prévenir l’usager », précise Damien Frey.

- Quant aux passeports et cartes d’identité, une simple photo de ces documents peut valoir entre 2 et 5 euros. Généralement, les malfaiteurs peuvent s’en servir pour créer des fausses identités et ouvrir des comptes, parfois chez les banques en ligne. Nous avions discuté avec un hacker qui proposait de vendre 1 500 documents de citoyens français, pour environ 3 000 euros.

- À noter aussi que si notre adresse mail et notre numéro de téléphone ne valent pas grand-chose, elles peuvent encore intéresser les spammeurs.
Vous ne pouvez pas consulter les pièces jointes insérées à ce message.
- Only Amiga... Was possible ! Lien https://forum.malekal.com/viewtopic.php?t=60830
- « Un problème sans solution est un problème mal posé. » (Albert Einstein)
- « Tous les patients mentent » (Théorème du Docteur House) Que ce soit consciemment ou inconsciemment
- Jeff Goldblum dans Informatic Park, professeur adepte de la théorie du chaos : « Vous utilisez un crack, un keygen ? Qu’est-ce qui pourrait mal tourner?? »
- Captcha : Il s'agit d'un ordinateur qui demande à un humain de prouver.. qu'il n'est pas un ordinateur ! (Les prémices du monde de demain)
- Dans le monde il y a deux sortes de gens : Ceux qui font des sauvegardes et .. Ceux qui vont faire des sauvegardes (Extrait du Credo.. Telle est la voie ! )
Avatar de l’utilisateur
Parisien_entraide
Messages : 20289
Inscription : 02 juin 2012 20:48
Localisation : Thomas Anderson : Je suis dans et en dehors de la matrice :-)

Vol de données : Air France et KLM

par Parisien_entraide »

2023-01-08_122116.jpg
Air France et KLM informent les clients des piratages de compte


Enfin presque... (voir plus bas)

Source : https://www.bleepingcomputer.com/news/s ... nt-hacks/



DONNEES VOLEES

Code : Tout sélectionner

- Identité
- Numéro du compte Flying Blue et son niveau
- Le nombre de miles
- Numéro de téléphone
- Adresse email
- Dernières transactions
Il est précisé qu'aucune carte de crédit ou autre moyen de paiement n'a été exposé (volé)

Par contre PAS UN MOT sur la copie du passeport qu'il nous est demandé (même si facultatif mais conseillée) pour faciliter la commande des billets et/ou passage pour l'enregistrement




Copier-coller
________

Air France et KLM ont informé les clients de Flying Blue que certaines de leurs informations personnelles ont été exposées après que leurs comptes ont été piratés.

Flying Blue est un programme de fidélité permettant aux clients de plusieurs compagnies aériennes, dont Air France, KLM, Transavia, Aircalin, Kenya Airways et TAROM, d'échanger des points de fidélité contre diverses récompenses.

"Nos équipes des opérations de sécurité ont détecté un comportement suspect de la part d'une entité non autorisée en relation avec votre compte. Nous avons immédiatement mis en œuvre des mesures correctives pour empêcher toute nouvelle exposition de vos données", indiquent les notifications envoyées aux clients concernés.

"Notre service de sécurité de l'information prend des mesures pour empêcher toute activité suspecte concernant votre compte."

Le compte Twitter officiel de KLM a confirmé l'attaque et a déclaré à l'un des clients concernés que "l'attaque a été bloquée à temps et qu'aucun mile n'a été facturé".

"Je vous invite cependant à modifier votre mot de passe Flying Blue via le site Web Flying Blue", a déclaré KLM.
mess chg de mot de passe.jpg

La liste des données potentiellement compromises comprend leurs noms, adresses e-mail, numéros de téléphone, dernières transactions et informations Flying Blue comme leur solde de miles gagnés.

Les alertes de violation ont ajouté que cet incident n'a pas exposé les informations de carte de crédit ou de paiement des clients.

Les clients concernés ont également été avertis que leurs comptes avaient été verrouillés en raison de la violation et qu'ils devaient se rendre sur les sites Web de KLM et d'Air France pour changer leurs mots de passe.
messg lisible de klm infirmat breche.jpg

KLM et Air France n'ont pas répondu aux demandes de commentaires lorsque BleepingComputer les a contactés plus tôt dans la journée.
Articles Liés:
_____________

08.01.2023_13.05.31_REC.png


PROBLEMES :


- Tout le monde n'a pas reçu le message informant d'une violation de données (Perso je n'ai rien reçu, et j'ai posé la question à des collègues)

- Sur le compte Twitter, alors que cela devrait figurer en bonne place on ne trouve que les habituelles questions/réponses sur les problèmes de bagages, vols etc
En fait si on lit ce que raconte le compte twitter, celui qui l'administre n'était pas au courant du vol de données et l'a su par le biais d'utilisateurs
Il a confirmé ensuite

- Si on veut joindre directement il nous est demandé d'adresser un message privé.. qui nous fait passer par TWITTER... qui a AUSSI fait l'objet d'un vol de données !
Il est donné également sur Twitter un lien de contact qui passe par hxxp://klmf.ly/1N2xxB80 le genre de raccourci utilisé par les pirates pour le phishing (tous les liens raccourcis sont bloqués chez moi pour des raisons de sécurité)

- Si on souhaite changer son mot de passe il y a des... limitations comme on en voyait il y a une douzaine d'années (limitation à 12 caractères etc)

Code : Tout sélectionner

Au moins 1 chiffre (0-9)
Au moins 1 majuscule (A-Z)
Au moins 1 minuscule (a-z)
Entre 8 et 12 caractères
Symboles autorisés : $ @ & + - / # _ ? !
Il ne faut pas compter non plus sur du MFA/2FA, ils ne connaissent pas

Il faut savoir que les malfaisants utilisent majoritairement, la "brute force" donc la longueur du mot de passe et complexité "peut" avoir son importance
Je pourrais mettre un bémol cependant en ajoutant que le stockage dans une base de données ne devrait pas avoir d'importance, car la plupart des applications hachent les mots de passe, les rendant tous (également) "longs".
Néanmoins ce n'est pas un argument viable, car les limitations de longueur et de "symboles autorisés" sont le fait d'applications "anciennes" sous le capot, donc avec une maintenance qui n existe pas

Flying Blue est géré en interne par le groupe Air France-KLM et les données sont également détenues par AFKL (AFKL le responsable du traitement).


Sur son site https://wwws.airfrance.fr/information/l ... o-phishing outre des conseils pour contrer le phishing
Air France donne la liste des adresses mails les plus utilisées

Reconnaître un e-mail officiel
Air France peut vous adresser plusieurs types de messages.
Voici les listes des adresses e-mail les plus utilisées par Air France, selon le type de message.
Sont également utilisées les adresses e-mail se finissant par :

Code : Tout sélectionner

@account-airfrance.com
@connect-passengers.com
@enews-airfrance.com
@info-airfrance.com
@infos-airfrance.com
@ticket-airfrance.com
@xmedia.airfrance.fr
@websupportairfrance.com
Franchement QUI va s'amuser à regarder ce type d'info à la réception d'un mail, d'autant plus qu'il faut avoir connaissance de ce lien qui ne figure QUE sur le site AIR FRANCE



LE PIRE...


Sur la page personnelle, on ne peut modifier QUE l'adresse mail et le mot de passe
Par contre on a du mal à comprendre, QUI peut s'amuser à changer son identité et adresse de naissance puisque ces données sont en relation avec le billet de vol, les miles, l'enregistrement, ... ?

2023-01-08_114514.jpg

En plus... Il faut joindre une copie du passeport (qu'ils ont déjà pour rappel si on veut se faciliter la vie, mais dont on ne sait si cela fait partie des documents volés) et il est indiqué une adresse
https://www.flyingblue.com/kamino/sso/in/blueweb

Si on clique on a droit à un : "Oops… The page you're looking for seems to be unavailable or missing."
et... Cela nous déconnecte du site Air France/Flying blue

Si on passe sur le site il n'est pas possible de communiquer directement, il faut aller dans un sous menu pour trouver (et qui ne fonctionne pas, testé ce jour alors qu'il est indiqué un créneau horaire que j'ai respecté)
En fait on tombe sur un serveur vocal et ce qui est proposé est surtout en lien avec un vol (enregistrement bagages etc) si on essaye de ruser pour avoir un employé (c'est proposé dans je ne sais plus quelle section) on nous informe qu'il faut appeler.. En semaine
Rien n'indique sur le site que c'est fermé le dimanche
dernier.jpg

Bref on a l'impression d'amateurs...et que tout le budget a été mis pour les salons VIP pour le champagne, petits fours, sauna, massages, ...
(Même si j'avoue que j'en ai profité, car il est plus facile de travailler sur son PC portable dans ces salons)

Ah oui l'image d'Air France, de la gastronomie, nos vins, du service haut de gamme VIP, c'est important surtout pour les étrangers ! (Et pour vendre des avions)
2023-01-08_134525.jpg

___________

2023-01-10_103008.jpg


Addendum du 10/01/2023

Clubic fait état du vol https://www.clubic.com/antivirus-securi ... savia.html
et indique :
(...) afin de limiter toute fuite supplémentaire, la firme a temporairement bloqué l'accès à tous les comptes Flying Blue de ses clientes et clients tant que votre mot de passe permettant de s'y connecter n'a pas été changé par vous-même. Le but est notamment « d'empêcher toute activité suspecte »
sur les comptes en question. Ainsi, après avoir choisi un nouveau mot de passe, vous pourrez normalement accéder à votre compte Flying Blue.

Le truc c'est qu 'à lire différents forums, tout comme le fait d'avoir été averti, ce n'est pas pour tout le monde

Là aussi perso, et pour des collègues on n'a rien reçu et on ne nous a pas demandé de changer le mot de passe
Donc on se demande QUI a été averti ?
Mieux, suivant les pays et les accès certains on droit à du 2FA et d'autres pas (en France on y a pas droit en tous les cas)

Est ce le fait que l'info est venu initialement de KLM Pays bas, à l'Autorité néerlandaise de protection des données et à son homologue français CNIL ?
On ne sait en fait si les données volées ne sont que partielles (que pour certains pays) ni quelles bases de données ont été compromises et volées.


Sans compter les problèmes ou le fait que certains qui ont reçu le message de changement de mot de passe, pouvaient accéder directement à leur compte avec l'ancien mot de passe
2023-01-10_103223.jpg
https://twitter.com/HaukeJuergensen/sta ... 6988989442


Autres sources :
https://www.air-journal.fr/2023-01-09-a ... 45543.html

Dans celle ci on apprend que ce qui est relatif aux passeport ne fait pas partie des données volées
https://tweakers.net/nieuws/205352/klm- ... ramma.html



Bleeping Computer depuis la mise en ligne de son article, a eu confirmation du vol de données ;

Air France et KLM ont confirmé la violation de données dans une déclaration envoyée à BleepingComputer et ont déclaré que les données sensibles des clients, telles que les numéros de passeport ou de carte de crédit, n'étaient pas exposées.

Les deux compagnies aériennes ont déclaré avoir également signalé l'incident aux autorités de protection des données de leur pays.

"Air France et KLM confirment une violation de données par laquelle les données des clients Flying Blue ont été consultées. Notre équipe de sécurité informatique a mis en place des actions correctives pour arrêter l'incident. Aucune donnée sensible telle que les numéros de passeport ou de carte de crédit n'a été divulguée", a déclaré un porte-parole à BleepingComputer.

"Air France et KLM regrettent cette situation. Conformément aux procédures en vigueur, nous avons informé les autorités compétentes (Autoriteit Persoonsgegevens et Commission Nationale de l'Informatique et des Libertés) de cet événement et notifié les clients concernés."
Mise à jour du 09 janvier, 09h37 HNE : ajout de la déclaration d'Air France et de KLM.
Vous ne pouvez pas consulter les pièces jointes insérées à ce message.
- Only Amiga... Was possible ! Lien https://forum.malekal.com/viewtopic.php?t=60830
- « Un problème sans solution est un problème mal posé. » (Albert Einstein)
- « Tous les patients mentent » (Théorème du Docteur House) Que ce soit consciemment ou inconsciemment
- Jeff Goldblum dans Informatic Park, professeur adepte de la théorie du chaos : « Vous utilisez un crack, un keygen ? Qu’est-ce qui pourrait mal tourner?? »
- Captcha : Il s'agit d'un ordinateur qui demande à un humain de prouver.. qu'il n'est pas un ordinateur ! (Les prémices du monde de demain)
- Dans le monde il y a deux sortes de gens : Ceux qui font des sauvegardes et .. Ceux qui vont faire des sauvegardes (Extrait du Credo.. Telle est la voie ! )
Avatar de l’utilisateur
Parisien_entraide
Messages : 20289
Inscription : 02 juin 2012 20:48
Localisation : Thomas Anderson : Je suis dans et en dehors de la matrice :-)

Vol de données TWITTER

par Parisien_entraide »

2023-01-09_153011.jpg


TWITTER


Twitter avait déjà subi le vol de données de 400 millions de comptes à la fin du mois de décembre dernier.
Le fichier en vente contient les données de 235 millions de personnes.

Dans 63 Go de fichier, on retrouve les

Code : Tout sélectionner

- nom
- prénoms
- adresses mail
- pseudo Twitter 
- les numéros de téléphone des utilisateurs et utilisatrices du réseau social. 
Twitter.jpg


S’il n’est pas clair d’où proviennent ces données, certains estiment qu’elles proviendraient du vol précédent. Rien n’est confirmé pour autant.

Petit rappel et historique

Le cauchemar a commencé en juillet lorsqu'un acteur connu sous le nom de « Devil » a mis en vente, sur un forum de données piraté, une base de données de numéros de téléphone et d'adresses électroniques appartenant à 5,4 millions de comptes Twitter.
Devil a exigé un paiement de 30 000 dollars pour ces données et a prétendu les avoir subtilisées via une vulnérabilité divulguée à Twitter le 1er janvier 2022.
La firme a corrigé la faille le 13 janvier 2022.
Elle affectait les utilisateurs d'Android et accordait quiconque, sans authentification, d'obtenir un identifiant Twitter pour n'importe quel utilisateur en soumettant un numéro de téléphone ou une adresse électronique, même si l'utilisateur interdisait cette action dans le paramètre de confidentialité.

Les données contenant les données des 5,4 millions d'utilisateurs ont été publiés gratuitement le 27 novembre 2022.
Cependant, une autre base de données contenant prétendument des détails sur 17 millions d'utilisateurs circulait également en privé en novembre.

Fin décembre, Alon Gal, cofondateur et directeur technique de la société israélienne de renseignement sur la cybercriminalité Hudson Rock, a repéré sur un forum criminel sur les violations de données un message d'un utilisateur appelé « Ryushi » proposant de vendre les e-mails et les numéros de téléphone de 400 millions d'utilisateurs de Twitter.
Après traitement, Alon Gal a déclaré que le chiffre initial de 400 millions d'utilisateurs comprenait des doublons.

Troy Hunt, qui dirige le site de signalement des violations de données HaveIBeenPwned, dit avoir trouvé 211,5 millions d'adresses électroniques uniques dans la base de données divulguée. Il est possible qu'un autre acteur de la menace ait publié un ensemble de données comprenant 200 millions de profils Twitter sur le forum de piratage Breached pour huit crédits de la monnaie du forum, d'une valeur d'environ 2 dollars.

twitter vente.jpg

Des pirates s'emparent des comptes Twitter de célébrités et de personnalités publiques
Pendant les vacances de fin d'année et peu après le Nouvel An, les comptes Twitter de célébrités très en vue au Royaume-Uni, en Inde et en Australie ont été piratés. Parmi les profils piratés figurent ceux du commentateur de télévision Piers Morgan, de la secrétaire britannique à l'éducation Gillian Keegan, du secrétaire d'Irlande du Nord Chris Heaton-Harris, du chanteur Ed Sheeran et de la star de la télévision indienne Salman Khan.

Bien qu'il soit possible que ces piratages n'aient aucun rapport avec les échantillons de fichiers publiés par Ryushi, Alon Gal pense qu'ils sont liés. « Ce n'est probablement pas une coïncidence : la révélation de l'adresse électronique peut avoir été juste ce dont le pirate avait besoin pour trouver des mots de passe pour le compte, ou pour faire de l'ingénierie sociale à sa façon », a déclaré Alon Gal dans un tweet.

Source partielle ZATAZ
https://www.zataz.com/les-donnees-de-20 ... diffusees/
et
https://www.numerama.com/cyberguerre/12 ... acker.html
Vous ne pouvez pas consulter les pièces jointes insérées à ce message.
- Only Amiga... Was possible ! Lien https://forum.malekal.com/viewtopic.php?t=60830
- « Un problème sans solution est un problème mal posé. » (Albert Einstein)
- « Tous les patients mentent » (Théorème du Docteur House) Que ce soit consciemment ou inconsciemment
- Jeff Goldblum dans Informatic Park, professeur adepte de la théorie du chaos : « Vous utilisez un crack, un keygen ? Qu’est-ce qui pourrait mal tourner?? »
- Captcha : Il s'agit d'un ordinateur qui demande à un humain de prouver.. qu'il n'est pas un ordinateur ! (Les prémices du monde de demain)
- Dans le monde il y a deux sortes de gens : Ceux qui font des sauvegardes et .. Ceux qui vont faire des sauvegardes (Extrait du Credo.. Telle est la voie ! )
Avatar de l’utilisateur
Parisien_entraide
Messages : 20289
Inscription : 02 juin 2012 20:48
Localisation : Thomas Anderson : Je suis dans et en dehors de la matrice :-)

Vol de données : CAISSE D'ALLOCATIONS FAMILIALES (CAF) de GIRONDE

par Parisien_entraide »

2023-01-09_154029.jpg


CAISSE D'ALLOCATIONS FAMILIALES (CAF) de GIRONDE



Pas un vol mais des données accessibles à tout le monde
Lorsqu'on sait qu'un site qui est mis en ligne subit des scans en moins de 15 minutes, on peut légitimement penser que les données sont conservées ailleurs

__________
La cellule enquête de Radio France révèle que les données de 10 024 allocataires de la Caisse d'allocations familiales de Gironde se sont retrouvées en ligne et en clair pendant environ 18 mois, sans attirer l'attention de l'organisme.
Elles ont été publiées par un prestataire dans le cadre d'un exercice de formation.
Prévenu, le prestataire a retiré le jeu de données du Web, et la Caf a promis de contacter les personnes concernées.

Tout commence en 2021 lorsque, afin de former ses agents à la manipulation d’un logiciel de traitement statistique, la Caf de Gironde fait appel à un prestataire basé en région parisienne, lui fournissant au passage un lot de données.
Si les noms, prénoms et codes postaux ont été retirés, un total de 181 données par allocataire sont restées accessibles.
On y trouvait ainsi l'adresse (numéro et nom de la rue), la date de naissance, mais aussi la composition du foyer, les revenus ou encore le montant des prestations reçues.

Des données bien réelles
Problème : les données fournies par la Caf sont bien celles d'allocataires de la Caf de la région Gironde. "Quand la Caf m’a communiqué ces données, je pensais qu’elles étaient fictives, a expliqué le prestataire à nos confrères.
Nous n’avons pas besoin de données réelles pour une formation, seulement de données ‘réalistes’. Le fichier a été mis à disposition sur mon site dans le cadre d’une formation en ligne et j’ai omis de le retirer ensuite".

Les journalistes n'ont pas eu besoin de déployer de grands efforts pour retrouver les propriétaires de ces données : il leur a suffi de saisir leur adresse dans un annuaire inversé.
À chaque essai, l'identité de la personne a pu être confirmée par téléphone.
L'occasion d'apprendre aux propriétaires de ces données qu'elles étaient accessibles en ligne depuis 18 mois, suscitant "stupeur" et "colère".

Le service de presse de la Caisse nationale des allocations familiales (Cnaf) a indiqué à Radio France que "ces données n’auraient jamais dû être mises en ligne par le prestataire" et qu'il avait reçu le fichier dans le cadre "d’une formation très restreinte" avec un personnel "soumis au secret professionnel". La Caf a promis d'ouvrir une enquête interne pour comprendre les raisons de ce fiasco. La Cnil va également se pencher sur le sujet.

Une faute partagée ?
L'association La Quadrature du Net indique que "la Caf semble ignorer les principes de base de l’anonymisation des données personnelles", rappelant qu'il est par exemple nécessaire de supprimer aussi des données sensibles telles que les adresses et dates de naissance afin de minimiser les chances de retrouver qui se cache derrière un lot.

Elle explique également que la base de données a été publiée sans que son accès ne soit protégé.
Il semblerait donc que le prestataire n'ait pas pris la peine de chiffrer les données avant leur mise en ligne, et qu’aucun mot de passe n’ait été demandé aux personnes formées pour accéder au fichier.
Rappelons d'ailleurs que la Caf est dans le viseur de l’association depuis quelques semaines, à la suite de révélations concernant un algorithme utilisé par l'organisme. Destiné à détecter les erreurs et la fraude dans le versement de prestations aux allocataires, celui-ci servirait aussi à orienter les contrôles.

Pour chaque dossier, 181 variables sont disponibles1. On trouve notamment les informations suivantes sur chaque allocataire :


État civil :
sexe, date de naissance, nationalité (française ou non), adresse (sans le nom de la ville)

Logement :
type de logement (propriétaire, locataire, sans domicile fixe, hébergement à titre gracieux, hôtel…), informations sur le loyer
.
Situation personnelle :
célibataire/veuf·ve/en couple/divorcé·e, personne sous tutelle ou non (civile, judiciaire, médicale…)

Situation médicale :
grossesse en cours ou non, « niveau » de handicap

Situation professionnelle :
« activité » (chômeurs·es, salarié·e, retraité·e, étudiant·e, handicapé·e, personne « inactive »)

Situation du conjoint : activité (chômeurs·es, activité « normale », retraité·e, étudiant·e, handicapé·e, « inactive »), date de naissance

Situation familiale :
nombre de personnes du foyer, nombre d’enfants, existence de pensions alimentaires, de garde alternée, revenus du foyer .
Pour chaque enfant de l’allocataire : date de naissance, sexe, s’il ou elle est orphelin, a été abandonné·e à la naissance, sa « qualité » (« infirme », étudiant·e, stagiaire, salarié·e, apprenti·e), s’il ou elle est à charge ou encore en résidence alternée

Type et montant des allocations :
Allocations familiales, APL, RSA, Prime d’activité, Allocation d’adultes Handicapés


Sources :
https://www.francetvinfo.fr/internet/se ... 80477.html
https://www.laquadrature.net/2023/01/05 ... ces-libre/
Vous ne pouvez pas consulter les pièces jointes insérées à ce message.
- Only Amiga... Was possible ! Lien https://forum.malekal.com/viewtopic.php?t=60830
- « Un problème sans solution est un problème mal posé. » (Albert Einstein)
- « Tous les patients mentent » (Théorème du Docteur House) Que ce soit consciemment ou inconsciemment
- Jeff Goldblum dans Informatic Park, professeur adepte de la théorie du chaos : « Vous utilisez un crack, un keygen ? Qu’est-ce qui pourrait mal tourner?? »
- Captcha : Il s'agit d'un ordinateur qui demande à un humain de prouver.. qu'il n'est pas un ordinateur ! (Les prémices du monde de demain)
- Dans le monde il y a deux sortes de gens : Ceux qui font des sauvegardes et .. Ceux qui vont faire des sauvegardes (Extrait du Credo.. Telle est la voie ! )
  • Sujets similaires
    Réponses
    Vues
    Dernier message

Revenir à « Actualité & News Informatique »