🛡️ Vol de données : 150 millions de données d’internautes français sont en vente

[Parisien_entraide]

2024-12-11_120851.jpg

Vol de données chez monogramparis-com


Le site : https://www.monogramparis.com/

Monogram Paris est une plateforme en ligne spécialisée dans les articles de mode de luxe d'occasion. Elle propose une large gamme de produits comprenant des sacs, des bijoux, des montres, du prêt-à-porter, des chaussures et des accessoires de marques emblématiques telles que Chanel, Louis Vuitton, Dior, etc. Le site Web met l'accent sur les articles authentifiés et de haute qualité et propose des services tels que l'expédition rapide et les paiements échelonnés. Il propose également une section de vente d'articles de luxe d'occasion, garantissant une économie circulaire.

Ce qui a été volé :

Code : Tout sélectionner

_ID Utilsiateur
_ID client
_ Adresse mail
_ Mot de passe (mais pas en clair et heureusement)

Ex (j'ai tout modifié mais la structure est la même)

Code : Tout sélectionner

(22715, 2283, '[email protected]', '5f2ec9f4c96357c66374cc936735784d'),

[Parisien_entraide]

2024-10-19_134013.png

SOFINCO a fait l'objet d'un vol de données de ses clients

Pour rappel, SOFINCO est une marque commerciale de Crédit agricole Consumer Finance, filiale de Crédit agricole S.A. spécialisée dans les crédits à la consommation
On peut faire appel à un crédit, mais également s'en servir via la CB Sofinco pour du crédit renouvelable (Et là il vaut mieux avoir activé l'alerte SMS en cas d'usage du compte et de la carte)

Sofinco confirme le vol de données, mais minimise et refuse de communiquer le nombre de clients concernés sur les 11 millions.
Le porte parole précise qu' « Il s’agit d’une quantité infime » (sic)

Effectivement ils peuvent relativiser si c'est.. 1 million sur 11 millions (C'est juste pour l'ex) mais cela commence à faire du monde

Elle précise cependant que les victimes ont été prévenues (normal c'est la loi)

Effectivement cela à commencé mercredi 16 octobre, lorsque les clients de Sofinco ont reçu un message, mais comme toujours avec les envois mails, cela peut se retrouver dans les "indésirables", considéré comme du spam, et sous condition que l'adresse mail qui peut dater de plusieurs années lors de la création du prêt soit encore active

2024-10-19_171941.jpg

SOFINCO y indiquait avoir détecté «une atteinte à la sécurité de [ses] systèmes informatiques […]. Dans le cadre de cet incident, certaines de vos données personnelles ont été exposées (parmi lesquelles peuvent se trouver : vos coordonnées postales, bancaires et téléphoniques, vos copies de pièces d’identité…)», était-il précisé.

Mais Sofinco ne parlait pas de vol de données et prétextait que l’incident avait eu lieu chez un partenaire.
Ce qui semble curieux puisqu'ils indiquent

" Sofinco affirme avoir “déployé dans les plus brefs délais les correctifs de sécurisation sur [ses] systèmes"

Néanmoins TOUT VA BIEN puisque

"L’incident est circonscrit »

En début d’année, le Crédit agricole avait aussi subi une cyberattaque, par déni de service cette fois-ci, rendant le site web et l’application mobile de la banque inaccessible pendant plusieurs heures.


LES DONNES VOLEES

Code : Tout sélectionner

- Votre identité
- Vos coordonnées postales
- Vos coordonnées bancaires 
- Vos coordonnées téléphoniques, 
- Les copies de pièces d’identité

LES RISQUES

Outre du phishing ciblé, des dépenses ou des crédits souscrits à votre nom pourraient apparaître, en cas d’usurpation d’identité.

SOFINCO précise :

«Nous souhaitons attirer votre attention sur l’éventualité que les fraudeurs puissent utiliser ces informations pour vous contacter et tenter de récupérer des informations complémentaires», dans son message d’alerte.

____________________________

Comme d'habitude on a les presque mêmes éléments de langage

2024-10-19_172154.jpg

[Malekal_morte]

2024-10-28_235745.jpg

Source partielle: https://x.com/_SaxX_/status/1848662776656351565


FREE : VOL DE DONNÉES DE COMPTES ET IBAN (Pour Free c'est le 4ème vol - potentiel? - de données de l'année)

________________
viewtopic.php?p=544053#p544053 Au 13 septembre 2023
viewtopic.php?p=551031#p551031 Au 9 février 2024
viewtopic.php?p=559753#p559753 Au 2 Octobre ... 2024
Les premières arnaques utilisant la fuite FREE arrivent viewtopic.php?f=11&t=75207 (22 Novembre 2024)
__________________

19M de comptes et 5M d'IBAN de l'opérateur téléphonique Free mis en vente sur le "Amazon de la cybercriminalité"

Hier nuit, un cybercriminel a mis en vente deux bases de données supposées appartenir à Free :
l'une comportant 19 192 948 de comptes clients
l'autre constituée essentiellement de 5,11M de coordonnées IBAN

Il n'y a pas de prix affiché. Le cybercriminel appelle les intéressés à négocier avec lui et en passant via un système d'escrow - comprendre système permettant de garantir la transaction !

Un échantillon a été fourni en plus de captures d'écran...

On retrouve des informations assez sensibles dans cette base de données comme :

Nom,
Prénom,
Numéro Téléphone,
Adresse postale complète,
Date de naissance,
Email
...

Ce supposé piratage et fuite d'informations concernerait les clients Free Mobile et Freebox.

La fuite d'information daterait selon le cybercriminel de la semaine dernière... à savoir le 17 octobre 2024.

Il est aussi à noter que le profil du cybercriminel a été créé hier...

Dernièrement, bcp de "cybercriminels" procèdent de la manière en créant leur compte juste avant publication d'infos/piratage/cyberattaque/fuite de données sur la France.

A prendre donc avec des pincettes en attendant confirmation. Une autre pratique qui a le vend en poupe, et que je pointais il y a quelques semaines, demeure la génération d'info en s'aidant de l'IA.

Si c'est avéré ce serait une nouvelle hécatombe après le hack de SFR il y a quelques semaines...

Par principe de précaution, voici quelques conseils, et ce serait l'occasion pour vous si vous êtes chez Free, d'appliquer une passe de sécurité pour votre vie privée numérique :

Changez vos mots de passe
Utilisez un gestionnaire de mots de passe / coffre-fort numérique
Activez le fameux MFA/2FA (c'est ce code que vous recevez la plupart du temps par sms pour confirmer un achat par internet)
Mettez à jour vos systèmes (ordi+tel)
Ne cliquez pas sur des liens reçus par SMS ou par email
Ne téléchargez pas de logiciels craqués ! Ils sont piégés et contiennent des stealers (infostealers) qui vont pomper tous vos identifiants et mots de passe
Restez vigilants
Alertez votre entourage (parents, grands-parents, etc.)

--------------------

Edit Parisien_Entraide

Ils sont chez FREE ils ont tout ..compromis (Au moins chez Reef rien n'a été volé :-)

En 2022 la CNIL avait sanctionné FREE : https://next.ink/1456/la-cnil-sanctionn ... s-donnees/

Néanmoins il faut attendre que d'autres sources se manifestent (Parce que SaxX....) et confirmation par FREE etc
43 Go extraits de chez FREE cela fait beaucoup sans que personne ne s'en aperçoive et cela indiquerait que plus de 80% des clients sont potentiellement touchés
Chez Free c'est de la sécurité interne. Pour avoir croisé dans le boulot un de ces personnels, ils sont très loin d'être incompétents
Du reste c'est annoncé sur un site connu et non pas vendu comme habituellement via le dark web ? Curieux...comme si l'effet d'annonce primait sur la vente


Donc, Il est actuellement encore impossible de vérifier la véracité des dires du pirate.
Maintenant SaxX met des précautions dans des annonces (Il commence depuis peu à comprendre le fonctionnement de son site source :-)

Possible phishing suite au vol de données ?

phihing.jpg

Edit du 25/10/2024

L'échantillon présenté concerne de vraies données... MAIS même si exploitables remontent à la période 2012 - 2013 (actifs ou pas ?)
Pour l'instant on ne sait rien du restant hors échantillon mis en vente

Ex d'échantillon. J'ai caviardé l'identité et autres données personnelles dont numéro de téléphone etc , mais on voit bien que là il s'agit d'un contrat de 2012, pour un forfait à 2 euros d'une personne résidant en région parisienne

Sinon on voit d'autres adresses mail que celles de Free pour la création du compte d'abonnement dont du Gmail, Yahoo.fr, Hotmail.fr et le plus souvent avec nom et prénom dans l'adresse mail

Free ex.png

Ce qui est inquiétant c'est que FREE ne réagit pas. Ce qui veut dire qu'il y a "quelque chose" et que le tout est sous investigation

Comme il a été dit sur le site Challenges.fr concernant l'origine

Il y a schématiquement deux grandes méthodes. L’erreur humaine ou la compromission.

- L’erreur humaine peut être un cloud mal protégé, un stockage de données laissé sans protection pendant un court instant…
Il y a toujours des robots en train de scruter et qui vont automatiquement récupérer les données si elles sont accessibles.

- L’autre méthode, c’est la compromission. C’est un sujet qui inquiète les grandes entreprises qui délocalisent leur support ou pratiquent la tierce maintenance. Dans certains pays, je l’ai constaté moi-même, on peut offrir 10 000 dollars à un individu contre une heure de ses identifiants et de son ordinateur.
C’est simple, rapide, sans violence et ça va très vite. Celui qui s’est laissé corrompre n’a pas idée de la gravité de la situation et les risques sont minimes.

Et il est ajouté :

Il est très étrange que les données aient toutes été stockées au même endroit, en particulier les numéros d’IBAN et les coordonnées personnelles. Il est également bizarre qu’elles n’aient pas été chiffrées ou du moins traitées à part comme les données bancaires

La fuite, si elle était avérée, serait beaucoup moins grave si les données avaient été chiffrées. Il y aurait là une responsabilité de Free qui aurait pu prendre des précautions.

On en revient à la sanction de la CNIL de 2022...
Soit la base est ancienne
Soit rien n'a été fait
ou....
---------------------


Edit du 26/10/2024

niel annonce.jpg

FREE RECONNAIT UNE FUITE DE DONNEES PORTANT SUR

Code : Tout sélectionner

- Nom prénom
- Adresse email
- Adresse postal
- Date et lieu de naissance
- Numéro de téléphone
- Identifiant abonné
- Données contractuelles : Type d'offre, date de souscription, abonnement actif ou non

FREE précise que les mots de passe ne sont pas concernés

Free 1.jpg

Et indique sur l'espace abonné

Free 2.jpg

La cyberattaque (Au sens courant qui laisse croire que l'attaquant ne peut etre qu'extérieur et non la définion de base) a ciblé un outil de gestion de Free, sans divulgation de mots de passe
Free a ouvert un numéro vert : 0805 921 100



Concernant l'IBAN
Sur l'IBAN, un conseiller du numéro vert mis en place par Free indique "

Pour l'instant non non l'IBAN n'a pas fuité, mais, si la Direction le confirme, vous recevrez un 2e email ne vous inquiétez pas

Il n'y a donc AUCUNE indication du vol de l'IBAN de la part de FREE



LES QUESTIONS

Déjà il manque des données par rapport au sample
On trouve en complément de ce que FREE modestement détermine par "Type d'offre"' sans donner de détails : l'ID de la Freebox, le type d'abonnement et débit Fibre par ex, le prix payé, si il s'agit d'un renouvellement ou pas, ...

Bref des indications qui peuvent servir pour un phishing ciblé

Sur les réseaux sociaux, forums, ... Nombre d'abonnés se plaignent de n'avoir pas reçu le mail de FREE
Ceux qui l'on reçu en premier c'était le 25 octobre, mais ce 26 octobre d'autres l'ont reçu autour de midi

FREE poste une réponse standard à ceux qui s'inquiètent de ne pas avoir reçu de mail

2024-10-26_202821.jpg

Donc
- Est ce que la base est ancienne et ne concerne pas les nouveaux arrivants ou certains types de contrats ?
- Est ce que FREE a travaillé avec seulement le sample qui comprend seulement presque 49 000 lignes d'abonnés ?


Wait and see


----------------------------------------------------

Edit du 27/10/2024




Le vol d'IBAN est confirmé (Il concerne les abonnés BOX à priori puisqu'on y trouve des numéros de téléphone fixe même si il y a aussi des numéros de téléphone portable qui font probablement partie d'un pack d'abonnement)

A 4h38 du matin (local) le voleur de données à diffusé un message et a repris la pub récente de FREE. reprenant le titre du dernier livre de Xavier Niel, "Une sacrée envie de foutre le bordel". à son profit

Aujourd’hui, je divulgue plus de 100 000 lignes d’IBAN français provenant de clients Free.

(Sur les 5.1 millions qu'il dit détenir)

iban.jpg

Et c'est le cas
J'ai viré 2 tonnes de trucs derrière les ":" j'en ai laissé d'autres mais avec de fausses informations. Juste pour donner une idée de ce qui apparait dans une ligne de données concernant une personne

L'IBAN apparait bien

J'ai noté que non seulement le numéro de téléphone mobile de la personne apparait, mais AUSSI celui de la ligne fixe
Que les données sont récentes

Code : Tout sélectionner

"id":
"login": 
"adslId":
"fbxAttachDate": "2021-09-11T09:46:57+02:00",
"identity": 
"civility": "M",
"email": 
"society": 
"status": "actif",
"birthDate": "1951-02-15T00:00:00+01:00",
"birthCity": 
"birthDepartment": ,
"birthCountry":
"createdAt": 
"modifiedAt": 
"firstname":
"lastname": 

"contact": 
"id": 
"number": "0600000000",
"createdAt": 
"modifiedAt": 

"address": 
"postalCode": "75007",
"streetName": "01 Rue Xavier Niel",
"city": "PARIS",
"supplement": 
"freeboxId": 

"offer": 
"id": 
"accountId": 
"metaOfferId": 1,
"msisdn": 
"createdAt": 
"modifiedAt": 
"status": "active",
"internalStatus": "active",
"haveBarring": false,
"offerName": "Forfait Free",
"offerDescription": "Forfait Free illimité à 19,99 euros",
"offerPrice": 
"anniversaryDay": 16,
"activationDate": "2021-09-16T03:53:59+02:00",
"overConsumption": false,
"canTerminate": true,
"posterioriPorta": false

"account": 
"id": 
"login": 
"createdAt": 

"firstActivationLine": 
"prestaId":
"activationDate": "2021-09-16T03:53:59+02:00",
"status": "effectuee",
"description": "Activation de la ligne"
},
"freeboxSubscription": 
"adslId": 
"firstName": 
"lastName": 
"promo": "PROMO_NORMALE",
"streetName": 
"iban": "FR  xxxxxxxxxxxxxxxxxxxxxxxx",
"loginAuth": 
"postalCode": 
"doorCode": 
"email": 
"society": 
"hasRetentionOffer": 
"registrationDate": "2021-09-11 09:41:16",
"mobile": 
"city": 
"streetNumber":
"streetType": 
"telVoip": 
"civ": "",
"bic": 
"addressId":
"iscable": 1

"flags": 
"msisdnTakeover": 
"MNPMsisdn": 

"children": 
"moboUrl": "hxxps://mobo.proxad.net/   (lien direct du compte)
"termsAndConditions": 
"BT": 
"name": "Brochure tarifaire",
"filename": "bt/tarifs.pdf",
"versions": 
	"date": "2024-07-23"
"CGU": 
"name": "Conditions Générales d'Utilisation",
"filename": "Conditions_generales_dutilisation.pdf",
"versions": 
	"date": "2012-02-12"

"CGA": 
"name": "Conditions Générales d'Abonnement",
"filename": "cga/Conditions_Generales_Abonnement.pdf",
"versions": 

	"date": "2022-01-10"

"canSendSim": 
"return": true

"subscriptionCanal": "MOBO_INSCRIPTION",
"haveLessThanAYearTerminatedMobileLoan": false,
"haveActiveMobileLoan": false,
"haveActiveChild": false,
"sav4gBoxAvailable": false,
"canBeAccountAssociate": true

Certaines personnes ont appelé FREE.. qui n'était pas au courant de cette diffusion

La base de données des IBAN d'après l'auteur du vol a un preneur à 70 000$

Une copie des données est sur le point d'être vendue pour plus de 70 000 $. Si l'entreprise ne participe pas à cette vente aux enchères unique dans les prochains jours, cette copie des données sera vendue, ce qui entraînera de graves conséquences pour les clients et sera probablement divulguée publiquement sur les forums dans un avenir proche.

_____________________________________

Edit : FREE confirme la fuite des IBAN (Ceci dit il n'ont pas trop le choix)

On note que

TOUTES les mesures nécessaires ont été prises immédiatement pour mettre fin à cette attaque"

et

"Aucun de vos mot de passe n'est concerné'

Ben oui SAUF que "l'attaque" a déjà eu lieu et est terminée depuis déjà quelques temps
Tout a été volé, meme l'IBAN, mais ce n'est pas grave, votre mot de passe est en sécurité

Au passage, dans le premier vol de données, figure des gens qui ont quitté FREE depuis...au moins une dizaine d'années
Donc le vol de donc le concerne les abonnés actifs ET inactifs

2024-10-27_233634.jpg

Maintenant comme déjà dit, COMMENT cela peut se faire . Le ver était il à l'intérieur ?

Déjà contrairement à ce que raconte SaxX, le vol qu'il relate n'était pas sur le Dark Web (mais cela impressionne tata Ginette) mais sur une place de marché bien connue
En général les ventes se font SUR le Dark Web, et ce qui n'est pas vendu et/ou parce que les auteurs souvent débutants veulent se faire connaitre, ou pour le buzz car plus accessible, atterrissent sur cette place de marché (Mais il y a nombre de scammeurs - Escrocs - qui soient font des annonces bidons avec des listes recyclées/retravaillées, et/ou générées avec de l'intelligence artificielle avec recoupement de bases ou pas)
La même place de marché au passage avec un nouveau nom que le FBI avait fait fermé il y a quelques années
Il ne s'agissait pas non plus de "signaux faibles", comme l'indique SaxX, c'était visible par tous (En plus il passe sous silence le vol de début octobre)
Lien de ses dires : https://x.com/i/status/1851313555489833232

Là par contre, il est curieux vu l'ampleur du vol que l'acteur malveillant mette cela directement sur cette place de marché (Son pseudo a été crée pour l'occasion

Comme le rappelle ZATAZ qui est plus fiable que SaxX,

"Son pseudonyme arbore un badge (VIP), ce qui lui confère une certaine crédibilité au sein de la communauté pirate (même si ce statut peut être acheté auprès de l’administrateur).

S'agit il d'un ancien employé qui a voulu se venger ?
D'une compromission en exploitant une faille d'une interface de gestion ? (Comme avec les autres vols chez FREE?)

Si on reprend les anciennes affaires, on a vu passer il y a quelques mois, en vente pour 2000$ des accès à des “outils de gestion” ou des “portails d’administration” de différentes sociétés/enseignes françaises », dont Free et SFR (ce qui explique la prolifération des vol de données de sites FR comme au mois de septembre par ex)

Wait and see...pour la suite


Rappel de cette histoire (Hors FREE)
On note le comportement de psychopathe, comme chez les tricheurs dans les jeux


https://www.youtube.com/watch?app=desktop&v=9YRk_7pYWXo






Edit du 29/10/2024

Il y a eu preneur des bases pour 175 000$

Si je me réfère à ce qui se vend depuis des années surtout pour une telle base, cela semble .. PEU
FREE aurait il racheté ? La logique le voudrait sinon il est cantonné à n'avertir que les gens qui apparaissent dans les samples, ce qui est inconcevable ne serait ce que pour la réputation du groupe
MAIS c'est comme avec les ransomwares... Déjà rien ne dit que le rachat ne va pas empêcher la diffusion, et dans le cas présent, rien ne dit que toutes les données mises en vente sont fiables (mélange du vrai et du faux). De toutes les façons la CNIL et autres organismes conseillent à juste titre de ne pas payer ; Il ne faut pas non plus encourager les voleurs de données
L'autre hypothèse c'est qu'il savent maintenant ce qui a été volé (analyse de logs) et ils n'avertissent QUE les personnes concernées (Tout le monde n'a pas été prévenu)


Complément :

La base a été achetée mais pas par FREE
Le vendeur s'affiche maintenant avec la pub "REEF" et se moque de FREE

" Free pensait que la base de données était gratuite, ils n'ont rien compris. "

A ce jour Free n'a pas fourni de précision sur le nombre d'abonnés effectivement affectés (On n'a que ce qui est indiqué par le voleur)

REFF original.jpg

Edit du 30/10/2024

L'auteur du vol précise :

Ce n'est pas l'organisation Free SAS qui l'a acheté.
Je conseille à tous les clients Free actuels et anciens de se préparer à ce qui va arriver très bientôt, en particulier ceux dont l'IBAN a été compromis.
Adieu.

En fait ce qui est étonnant dans cette histoire c'est le buzz autour de l'IBAN
Pourtant cela avait été le cas avec RED BY SFR et cela n'avait pas déclenché autant d'articles sur le net
Peut être que parce que chez FREE tout était en clair et non crypté ? Mais chez RED on ne sait pas ce qu'il en était
viewtopic.php?p=559223#p559223

Au 31/10 je sais que tout le monde n'est pas concerné par le vol de données et IBAN, donc pourquoi ?
(constaté dans mon entourage d'abonnés FreeBox ou simplement mobiles, qui n'ont pas reçu de mail alors que la messagerie fonctionne, que ce n'est pas dans les "indésirables etc)


Pour info :

En ca de fuite de donnes les risques.jpg

Edit DU 31/10/2024


Intéressante analyse de ZATAZ autrement plus crédible que SaxX

On en revient à la fuite de septembre que j'évoquais en début d'article (Que les "sondes" de SaxX n'avaient pas décelées) .. de l'homme de l'intérieur
https://www.zataz.com/donnees-de-free-v ... r-175-000/

En complément j'y ajoute que : (ZATAZ parle lui aussi de l'homme de l'intérieur et c'est normal.. Les malveillants aimment travestir la vérité, se mettre en avant, "jouer" avec les autorités etc donc il faut toujours regarder certains points de détails)

A noter l'avatar non pas du voleur de données mais du vendeur
Son avatar sur le forum de ventes, est tiré du film Inside man (L homme de l'intérieur)
Son pseudo si on le décompose : D rus sell x : Un franco russe, un slave ? Qui vend ( to sell) des données "X" ? Bon allez c'est juste un petit jeu :-)
En fait on le trouve également sous le pseudo "ChatNoir'
Rappelez vous la discussion LDLC download/file.php?id=39962&mode=view

acvatar.png

Complément

freee situaiotn.png

La CNIL rappelle ce jour que les personnes victimes d'une fuite de leurs données personnelles ont la possibilité de porter plainte directement auprès d'elle, si elles estiment que leurs données personnelles n'ont pas été suffisamment sécurisées, ou auprès de la police ou de la gendarmerie, si elles sont victimes d'une usurpation d'identité, d'une arnaque ou de paiements frauduleux consécutifs à cette fuite de données.
https://www.cnil.fr/fr/adresser-une-plainte

En attente :
Pour faciliter le traitement des dossiers dans le cadre de la cyberattaque contre Free, les clients de l'opérateur auront également la possibilité de porter plainte via un formulaire en ligne qui sera prochainement disponible sur le site https://www.cybermalveillance.gouv.fr/
Leurs dépositions pourront ainsi être ajoutées à l'enquête sans avoir à se déplacer en commissariat ou en gendarmerie.




Edit du 04/11/2024

J'ai attendu un peu, mais il n 'y a AUCUNE page dédiée pour un formulaire en ligne sur https://www.cybermalveillance.gouv.fr


Contrairement à ce qui avait été indiqué par différentes sources dont officielles, le site https://www.cybermalveillance.gouv.fr/ ne va pas permettre de porter plainte en ligne via un formulaire
Même l'image a quelque peu changé sur le site (capture ci dessous et ci-dessus)


En fait il n'y a rien d'étonnant. Il y a toute une procédure à mettre en oeuvre, d'autres sites le font déjà depuis longtemps sans que cela soit spécifique à FREE et rien ne dit qu'il n'y a pas le meme soucis que pour PHAROS avec un manque de personnel et de moyens
viewtopic.php?t=75117

Par contre a été mis en place ce lien explicatif, pour donner des conseils et procédures pour porter plainte
Pour les conseils (non indiqués dans ce message, parce que bon.. "Vérifier son compte bancaire", cela va 5 minutes. Les gens ne vont pas passer leur journée à tout vérifier, surtout que si le vol d'IBAN est exploité, cela peut se passer dans .. X mois

CyberMalveillance (site officiel du Gouvernement)
https://www.cybermalveillance.gouv.fr/t ... ree-202410

Néanmoins le premier conseil est d'appeler FREE pour savoir si on est concerné (Bien que logiquement toutes les personnes concernées ont reçu un ou deux mails suivant la nature de la fuite)

Pour toute question et demande de renseignement de ses clients, l’opérateur Free a mis en place un numéro vert (gratuit), disponible 7j/7 de 9h à 18h :

0 805 921 100


---------------------------------------

2024-11-04_173054.jpg

Risques et recommandations

(...)

- de déposer plainte en cas d’utilisation frauduleuse de vos données personnelles divulguées. Conservez toutes les preuves (messages, adresse du site web, captures d’écran…) et déposez plainte au commissariat de police ou à la brigade de gendarmerie
https://www.masecurite.interieur.gouv.f ... endarmerie
ou adressez-la par écrit à la Brigade de Lutte Contre la Cybercriminalité (BL2C) de la Préfecture de Police de Paris – 36, rue du Bastion – 75017 Paris ;

– de déposer plainte auprès de la CNIL si vous estimez que vos données personnelles n’ont pas été suffisamment protégées ;
https://www.cnil.fr/fr/adresser-une-plainte

– d’engager au besoin une action de groupe https://www.economie.gouv.fr/particulie ... -de-groupe ou un recours collectif qui permet aux victimes, représentées par une association de protection de la vie privée et des données personnelles ou une association de défense des consommateurs agréée au niveau national, https://www.inc-conso.fr/content/les-as ... sommateurs
de saisir la justice pour demander la cessation de la violation de données personnelles et la réparation du préjudice.

Pour plus d’information, vous pouvez également consulter notre article dédié aux violations ou fuites de données personnelles,
https://www.cybermalveillance.gouv.fr/t ... rsonnelles ainsi que le communiqué et les conseils de la CNIL.
https://www.cnil.fr/fr/fuite-de-donnees ... s-concerne


(1) Au passage une plainte contre FREE n'aboutira pas pour différentes raisons, mais vous pouvez quand même tenter la chose


Edit :

(1) Comme déjà indiqué cela ne sert à rien
Sur le traitement des données FREE a respecté les lois et a prévenu, déposé plainte, et si en plus comme on le soupçonne il s'agit de l'homme de l' intérieur, Free n'est pas attaquable contrairement à ce que raconte "SaxX",

" La CNIL impuissante (?!)... se retracte et lâche les victimes... ! Pas de possibilité de dépôt de plainte en ligne

ce qui est faux
https://www.cnil.fr/fr/plaintes et ce après identification https://connexion.services.cnil.fr/login
et en plus précis en rapport avec FREE https://www.cnil.fr/fr/plaintes/telephonie




AU FINAL (Le sujet sera complété si il y a du nouveau)

On se s'aperçoit que le prix d'un seul abonné ne coûte que (en arrondissant) 0.007 centimes d'euros...
Ce qui est très peu par rapport aux conséquences subies...

2024-11-06_201117.jpg

Edit du 06/11/21024


Rebondissement(s) dans l'affaire du vol de données (Je copie colle le site DataBreaches)

https://databreaches.net/2024/11/05/hac ... asnt-true/


Pour résumer :

- On note que même les données de Xaviel Niel ont fuité
- D'après le véritable hacker "YuroSh"' les données n'avaient jamais été vendues aux enchères ni vendues du tout – et elles n'allaient pas être vendues.'
- L'un YuroSh" a agit par "hacktivisme" l'autre, Drussellx pour extorquer uniquement Free

Et les données ? "YuroSh a répondu qu'ils les conserveraient ou les détruiraient."

On peut largement supposer aux vues des dires, que ces 2 personnages sont Francophones mais je sais que pour l'un d'eux il a "défacé" des sites de certains pays de l'est qu'on pourrait même penser qu'il serait Serbe d'origine...et un des groupes avec lequel il 's'amusait' se vantait sur X (Ex twitter), sans compter les sites où étaient répertoriés les hacks

Que dépassés par la médiatisation et donc répercussions à leur encontre du point de vue pénal ils ont décidés de faire machine arrière
L'hacktivisme réel ou supposé ne peut être juste là que pour se protéger en cas d 'arrestation (Quel est le rapport entre les données volées à des particuliers et "la surveillance globale du gouvernement' ?)
Qu'ils s'expriment sur un site bien connu à l'étranger qui a une certaine répercussion (Et possiblement moins sensible pour donner les logs de connexion aux autorités FR, et qui met en avant le "Il n’existe pas de loi fédérale globale sur la notification des violations de données aux États-Unis.")
Que l'on peut avoir des doutes avec ses "requêtes" (43 Go de données quand même).. De toutes les façons il ne dévoilera pas ses méthodes et comment il exploite les failles
De par le passé il n'a jamais agit seul




Reste la question cruciale des données. Vont elle être détruites ? Jamais exploitées ? Revendues ?

Règle numéro 1 : Ne jamais croire les dires d'un hacker. On peut juste faire semblant de le croire
Règle numéro 2 : Se référer à la règle numéro 1



En attendant comme déjà indiqué, des petits malins généraient des arnaques

2024-11-06_191349.jpg

____________________________________________
Les données n'ont pas été vendues ?

Le 3 novembre, l’histoire prend une tournure surprenante. DataBreaches a été contacté par quelqu'un qui s'est identifié comme « YuroSh ». Il a affirmé être le hacker responsable de la fuite de free.fr. "Je comprends que cette base de données est diffusée à la télévision française depuis des semaines et j'aimerais clarifier quelques détails", a-t-il déclaré, fournissant à DataBreaches ce qui semblait être les informations personnelles de Xavier Niel (PDG de FREE) comme preuve préliminaire. de son implication.

Lorsqu'on lui a demandé, YuroSh a déclaré que son rôle avait été d'aider à exploiter la vulnérabilité.
DataBreaches lui a demandé de demander à Drussellx d'envoyer un message privé à DataBreaches via BreachForums pour confirmer son implication. Drussellx a ensuite envoyé à DataBreaches un message privé indiquant que YuroSh était responsable du piratage.

Alors, quels étaient les détails des reportages médiatiques que YuroSh souhaitait clarifier ?
Eh bien, selon YuroSh, les données n'avaient jamais été vendues aux enchères ni vendues du tout – et elles n'allaient pas être vendues.

Apparemment, YuroSh et Drussellx avaient des priorités différentes quant à ce qu'ils feraient avec les données, mais aucun des deux ne voulait vraiment vendre les données des gens ou les divulguer. Drussellx aurait voulu extorquer FREE et aurait utilisé la position de mise aux enchères et la position « vendue » pour tenter de faire pression sur Free pour qu'il paie l'extorsion. YuroSh, cependant, semblait plus motivé par le hacktivisme, déclarant à DataBreaches :

Chaque citoyen français a probablement fait l’objet d’une fuite au moins une fois. Les bases de données récentes piratées incluent Free, SFR, France Travail, Ameli, CAF (Caisse d'allocations familiales), FFF (Fédération Française de Football), Ledger, LDLC, Shadow et Cdiscount. Je ne suis pas un saint mais j'espère que l'incident de free.fr permettra enfin de sensibiliser les Français à la réalité de la surveillance de masse et de lutter contre elle. La vie privée en France a été érodée à un point tel qu'elle est pratiquement inexistante. Cette situation va au-delà d’une simple violation, c’est un problème systémique, enraciné dans un gouvernement déterminé à imposer un État de surveillance. La majorité des gens n’hésitent pas aux pratiques de surveillance, même si les GAFAM et le gouvernement s’entendent pour contrôler tous les aspects de notre vie numérique.

La France est devenue le premier pays d'Europe à légaliser la surveillance biométrique, soi-disant pour la « sécurité publique » lors d'événements majeurs comme les Jeux olympiques. Dans le cadre de cette nouvelle loi, la police utilise la vidéosurveillance algorithmique pour analyser les données biométriques : formes corporelles, gestes, mouvements. Ils ont fait adopter ce projet à une époque de distraction nationale, écartant les débats sur les libertés civiles. Il s’agit d’une décision calculée qui révèle à quel point ils respectent peu la vie privée des individus. Cette décision ouvre évidemment la porte à une nouvelle expansion. Il ne s'agit pas de sécurité publique; il s’agit de la normalisation progressive de la surveillance de masse.

Les forces de l'ordre françaises sont allées jusqu'à cibler ProtonMail, Tor et d'autres outils de confidentialité, les qualifiant de criminels. Ils ont rendu suspecte l’utilisation de ces protections, tout en ignorant les failles réelles. Ils prétendent qu’il s’agit de lutter contre les cybermenaces, mais en réalité, il s’agit d’une atteinte aux libertés individuelles.

Leur objectif est le contrôle total et ils ne le cachent pas. Des drones de surveillance surveillant les manifestations aux systèmes de notation par l’IA qui réduisent les droits sociaux sur la base de mystérieux algorithmes, chaque nouvel outil rapproche la France d’un État de surveillance. La vie privée est sous assistance respiratoire, et si les gens ne résistent pas maintenant, elle pourrait bientôt disparaître complètement.

YuroSh a ajouté : « Je suis différent, je déteste la surveillance et je pense que la seule façon de les réveiller est de les pirater. Sinon, les choses ne changent pas. »


Problèmes de sécurité passés de FREE

YuroSh a également affirmé que dans le passé, ils avaient envoyé des alertes de vulnérabilité GRATUITES qui avaient été ignorées. Lorsque DataBreaches a commencé à s'intéresser à FREE, nous avons constaté que FREE avait déjà été sanctionnée par la CNIL. Le 30 novembre 2022, la CNIL a infligé une astreinte de 300 000 euros à FREE, pour non-respect des droits des personnes physiques et de la sécurité des données de ses utilisateurs.

Selon l'annonce des mesures coercitives de la CNIL, une enquête de la CNIL suite à certaines réclamations de consommateurs avait révélé plusieurs atteintes à la sécurité du RGPD, notamment des mots de passe en clair, et la remise en circulation d'environ 4 100 Freebox mal reconditionnées.

DataBreaches a demandé à YuroSh si les vulnérabilités qu'ils avaient signalées à FREE avaient été signalées avant ou après novembre 2022. Il a répondu que c'était après cette date, et facile « parce qu'ils n'ont pas bien surveillé, nous avons pu envoyer des millions de requêtes pendant des semaines. »
Et maintenant ?

Le groupe Iliad n'a pas répondu aux demandes de renseignements par courrier électronique envoyées par DataBreaches concernant les données personnelles du PDG et concernant les affirmations de YuroSh selon lesquelles les données n'avaient pas été vendues ou divulguées. Mais si ses affirmations sont vraies, plus de 19 millions de consommateurs français peuvent-ils pousser un soupir de soulagement ?

Peut-être pas. Lorsqu'on lui a demandé ce que lui et son associé avaient l'intention de faire avec les données si elles ne seraient pas vendues, YuroSh a répondu qu'ils les conserveraient ou les détruiraient.

"Quoi qu'il en soit, 19 millions de personnes pourraient encore ressentir une certaine anxiété", a commenté DataBreaches.

"En effet," répondit YuroSh.

DataBreaches ne voit pas comment cet incident aurait un impact sur la surveillance, mais peut-être que les régulateurs réexamineront les protections de sécurité et de confidentialité des données de FREE pour voir si elles sont conformes au RGPD.

----------------------------

Visiblement tout cela n'est pas terminé
Ceci dit "YuroSh" est bien connu dans le monde du hack



----------------------------


Edit du 13/11/2024

cnil iban.png

D'abord une annonce de la CNIL

Après la fuite de données ayant touché de nombreux abonnés Free, la CNIL a effectué un contrôle chez l’opérateur la semaine dernière. Le dossier est désormais en cours d’instruction.

et

La « lettre-plainte » qui avait été annoncée n’est pas gérée ou initiée par la CNIL qui a son propre formulaire de plainte disponible sur http://cnil.fr/.

Chez FREE, une offre d'emploi

Vu qu'ils offrent le goûter à 16h (Avec une animation ?) je pense que cela va intéresser :-)

FREE poste de travail.png

Edit du 18/11/2024


Le tribunal judiciaire de Paris (TJ Paris, 12/11/2024, 24/57625) ordonne à la société Telegram messenger inc de leur communiquer tous les éléments permettant d’identifier la personne (ou les personnes) : Qui a créé le compte de la messagerie qui a permis d’envoyer le message litigieux à M. [J] ».

Le texte dans son intégralité https://www.courdecassation.fr/decision ... 4c41f7613

Telegram a 48h pour fournir ce qui est demandé

Dans une décision du 12 novembre du Tribunal Judiciaire de Paris, publiée par la Cour de cassation, le déroulement des faits donne de nouvelles précisions. On y apprend notamment que le pirate informatique qui « est parvenu à détourner des données personnelles et bancaires d’abonnés de Free et de Free mobile […] a essayé d’obtenir le paiement d’une rançon par l’envoi de quatre messages sous le nom de [Z] [L], trois sur la plateforme délégué à la protection des données personnelles (DOP) et un adressé à M. [J] par l’intermédiaire de la messagerie électronique Telegram ».

Les messages envoyés par email à Free n’ont « pas laissé de traces informatiques ». L’identité de monsieur [J] et de la personne [Z] [L] ne sont pas précisées… mais comme la décision parle du « président du groupe Iliad » pour monsieur [J] cela renvoie très certainement à Xavier Niel. La pseudonymisation des documents n’est pas encore à son parfait état de l’art…

Un peu plus tard, dans sa décision, le Tribunal Judiciaire de Paris ajoute que « le président du groupe Iliad, M. [J], a reçu un message d’un certain "[Z] [L]" par l’intermédiaire de la messagerie électronique Telegram dans lequel il "laisse la possibilité à free d’acheter sa propre base" ».

1.jpg

2.jpg

Source : https://next.ink/158165/piratage-free-1 ... du-pirate/
---------------------------------------------------------



Edit du 20/11/2024


Arnaque : Vague massive de faux conseillers bancaires en lien avec la fuite de données dont IBAN
viewtopic.php?f=11&t=75207

Reste à savoir si c'est en lien avec les listes fournies "gratuitement" ou si il y a eu diffusion de la vraie base

Ensuite des petits malins en profitent pour appeler ou envoyer des SMS, messages, pretextant le vol d'IBAN de Free a des fins de .. "vérification" (Et là pas besoin d'être chez FREE)


-----------------------------
Edit du 06/12/2024

L'enquête suit son cours

L'autorité de protection des données a ouvert une enquête approfondie qui pourrait durer « entre 8 et 10 mois ».
La CNIL examine notamment si Free a respecté son « obligation de moyens » en matière de sécurité des données.
En cas de manquement, l'opérateur s'exposerait à une sanction pouvant atteindre 4% de son chiffre d'affaires.

Pour l'instant 2 000 plaintes déposées
La CNIL indique que c'est un .. record
Je trouve plutôt que c'est peu

Ceci dit en tant que particulier, pour ces affaires, après un dépôt de plainte, on n'est pas averti de ce qui en résulte

-------------------------------------------------------------------------------------------------------------

Edit du 07/12/2024


Les "infos" viennent du communicant "SaxX"
https://x.com/_SaxX_/status/1864982799549104307

--------------
La fuite d'information serait survenue par un agent d’un service client (free proximité, free Back office) qui a filé ses identifiants OpenVPN à une autre personne (potentiellement le cybercriminel)

Les agents Free ont accès à certaines données clients via 2 bases de données et 2 outils de diagnostic
(Mobo pour les abonnés mobile et siebel pour les boxes)

Chaque agent accède à ces données (free proxi) par des ordis venant du service informatique.
Cela leur permet de bosser sur une zone prédefinie selon leur zone d’habitation pour assurer un service de proximité de qualité

Après le partage du compte de l'agent 0, plusieurs autres agents Free ont reçu des appels du cybercriminel et des ses complices en se faisant passer pour le service IT... Hélas certains se sont fait avoir et ont a leur tour donner leurs identifiants...

Depuis la cyberattaque, plus de télétravail pour accéder aux données

La fuite a été gérée bien trop tardivement

La rumeur du leak circulait en interne bien avant les annonces publiques...
Mais tabou d’en parler aux responsables de secteurs vu que ce n'était pas encore public...


------------

Edit du 09/12/2024

Hors SaxX et/ou en complément:

Source : https://www.01net.com/actualites/cybera ... asse.html
Ce qu'il faut bien comprendre c'est que pour accéder aux bases de bases de données de FREE, les employés doivent impérativement se connecter à des ordinateurs du service informatique de Free.
Il est impossible que les employés consultent les données personnelles des clients sur leurs appareils personnels. (Et heureusement) par contre;. (voir ci dessous)

On en revient à .. LA SOURCE INTERNE



Le déroulement de l’attaque

"L’accès OpenVPN a servi de porte d’entrée au système informatique de Free. Le VPN permet aux employés d’accéder aux ressources internes de l’entreprise, comme les bases de données et les outils de diagnostic.
En disposant des identifiants OpenVPN, le cybercriminel peut se connecter au réseau sécurisé comme s’il était un employé autorisé.
Notez que des identifiants VPN compromis font d’ailleurs partie des portes d’entrée préférées des pirates, surtout des criminels spécialisés dans les ransomwares.

Armé du compte de son complice, le pirate est entré en contact avec « plusieurs autres agents Free » en se faisant passer pour le service informatique. Avec un accès aux ressources internes, il a pu orchestrer une attaque d’ingénierie sociale.
En clair, il a manipulé des agents Free pour obtenir leurs identifiants.
Certains des agents sont tombés dans le piège. C’est comme ça que le cybercriminel a réussi à dérober une montagne de données personnelles sur les abonnés Free.

Dans le cadre de cette attaque, les identifiants OpenVPN ont permis à l’attaquant d’endormir la méfiance de ses cibles. Le VPN facilite aussi le travail des employés en leur permettant de travailler depuis leur domicile. Suite à cette fuite de données d’envergure, Free a suspendu la possibilité d’accéder aux données aux employés en télétravail. Il faut impérativement se trouver sur place pour consulter les informations personnelles de la clientèle du groupe.

Par ailleurs, Free a révoqué tous les accès compromis, avant de générer de nouveaux identifiants.

Maintenant après la fuite, FREE subit une grève dans ses centres d'appels suite à cette affaire et mesures prises puisqu'il n'y aura plus de télétravail

Source : https://www.01net.com/actualites/apres- ... urite.html


Le 9 décembre pour la CGT et le 13 décembre pour FO

centre dappel free.jpg

------------------------

Edit du 15/01/2025

En résumé :

Le "hackeur" derrière le vol de données de Free est un adolescent de 17 ans demeurant à Breuillet dans l'Essonne, déjà connu pour avoir été en juin 2024, déjà arrêté pour avoir piraté les données de quatre millions de clients de Sport 2000, ainsi que les comptes Twitter/X du groupe Altice, maison-mère de SFR.
Il avait été mis en cause également dans le piratage des comptes Twitter de RMC et BFMTV, où des messages anti-russes avaient été publiés peu après l'attentat de Moscou.

Rappel (Par @Centho) du mode opératoire pour FREE :

Code : Tout sélectionner

- Complicité interne : Un agent FREE fournit ses accès OpenVPN
-  Infiltration des outils internes (Mobo et Siebel)
- Ingénierie sociale : Le hacker se fait passer pour l'IT
- Manipulation d'autres agents pour plus d'accès
-  Extraction massive des données

En fait comme de nombreux cas, c'est son ego qui l'a perdu. Il a gardé le MEME pseudo que lors des précédents vols
Ensuite c'est du fait de la collaboration avec Telegram que les enquêteurs ont pu avancer
Il est lié au groupe de hackers Epsilon
La vente s'est soldée au final par un gain de 10 000 euros, loin des 175 000 euros demandés

Le pseudo n'est pas cité mais il faut se rappeler qu'il y avait "YuroSh" et Drussellx alias ChatNoir
Que ce dernier avait tenté de négocier une rançon via la messagerie sécurisée Telegram sous le pseudonyme de ...Dalton Russel.
C'est le même que l'on voit ici en action avec LDLC download/file.php?id=39962&mode=view

Un quatrième pirate posséderait la base de données. Un bad hacker du nom de Kernel, connu sous le pseudonyme de Willfox213.

Me Camille Lucotte, s’étonne que l'adolescent interpelé soit le seul mis en cause, alors qu’il serait un acteur secondaire et que le principal responsable est identifié.


Source principale : https://www.leparisien.fr/faits-divers/ ... TKGIGE.php



____________________________________________________________________

QUE PEUT ON FAIRE AVEC UN IBAN ?

De base on ne pourra pas vider votre compte, seulement l'alimenter, MAIS



L'IBAN C'est quoi ?


1) L'IBAN, QUE PEUT ON FAIRE AVEC UN IBAN VOLE ? SCENARIOS

2) GARDE-FOUS, RECOURS, CONSEILS

3) CONSEILS-PREVENTION - PORTER PLAINTE

4) DEMONSTRATION SUITE AU VOL

5) Arnaque : Vague massive de faux conseillers bancaires en lien avec la fuite de données FREE dont IBAN

[Parisien_entraide]

Logo.png

La Mutuelle d'Ivry (la Fraternelle), plus communément nommée Mif, a été victime d'une attaque informatique
La MIF est spécialisée dans les produits et services d'épargne, de retraite et de prévoyance

Olivier Sentis, DG de l'assureur historique des cheminots confirme que le lundi 14 octobre, suite au constat de « volumes anormaux » d'activités informatiques, l'ensemble des systèmes d'information ont été « bloqués », et des « cyber managers » ont été sollicités pour identifier le problème.


Dans les conditions on note :

La MIF partage vos données personnelles avec:
Des prestataires de services tiers procédant au traitement de données personnelles pour le compte de la MIF (...)

Nous utilisons différentes mesures de sécurité techniques et organisationnelles pour assurer la sécurité de vos données personnelles.
Les données personnelles que nous collectons sont stockées au sein de l’Union Européenne.

Seulement il y a eu un problème... un VOL DE DONNEES

MIF.jpg

La MIF indique :

NI vos garanties, ni votre épargne, ne sont affectées, et votre mot de passe et votre espace compte client n'ont pas étés compromis

La MIF se félicite que .. L'incident est CLOS

Mais alors tout est bon ? Mais qu'est ce qui a été volé ?

Trois fois rien... donc tout va bien

Code : Tout sélectionner

- Votre numéro de sociétaire
- Vos numéro de contrats
- Votre identité (Nom ET prénom)
- Votre date ET lieu de naissance
- Votre adresse postale 
-  Votre adresse mail
- Votre numéro de téléphone
- Pièce d'identité
- RIB

la MIF précise cependant que ces données "sont susceptibles d'être utilisées à des fins frauduleuses" et ne concerne qu'un peu moins de 10 000 sociétaires, parmi les plus de 185 000 que compte la Mutuelle

Ben voyons...

_________________________________
Source image : ZATAZ

[Parisien_entraide]

Juste en passant car chaque semaine il y a plusieurs sites où des francophones apparaissent dans les vols de données mais qui n'intéressent pas grand monde du fait de ce qui apparait (Tant que le mot de passe, les données bancaires, etc ne figurent pas ou que ce n'est pas connu cela passe à la trappe dans les news)
En plus il faut avoir le temps de chercher (Pas mon cas)

2024-10-25_174228.jpg

Exemple de ce jour : FIVEM

https://fivem.net/


La base volée concerne 1,6 millions d' utilisateur français


Le site est décrit comme

FiveM est une modification pour Grand Theft Auto V vous permettant de jouer en multijoueur sur des serveurs dédiés personnalisés , propulsés par Cfx.re.

Sur le site il est dit :

Pourquoi me demandez-vous des informations de connexion ?
Nous devons effectuer cette opération pour vérifier si vous possédez réellement GTA V, lorsque notre validation automatique échoue. Ces données seront uniquement envoyées aux services du Rockstar Social Club et ne nous seront pas transmises, ni à aucune autre partie.

Alors OUI ces infos sont bien transmises et de ce que je vois c'est en lien avec le serveur ENDPOINT de FIVEM
Il suffit d'avoir un serveur et de récupérer le contenu de certains fichiers comme le dynamic.json qui affiche des informations sur le nom de l'hôte, le nombre de joueurs, l'IP etc

Là dans ce qui circule, on y trouve le pseudo du joueur, sa clé GTA (pas en clair heureusement), son Discord, le jeton du joueur, ....mais pas son IP

Il y a eu une modification je pense par le propriétaire du serveur qui a défini la sv_endpointprivacyconvar pour que chaque IP s'affiche comme 127.0.0.1 dans le point de terminaison players.json (ce que je vois dans la liste fournie)

Alors OUI c'est maigre comme info mais des "scrape" de ce genre il y en a des tonnes et il y a toujours quelqu'un que cela intéresse

Le web scaping est une technique qui permet de récolter les données d’un site ou d’une page de manière simple et structurée
Et le pire c'est que c'est...Légal
https://www.malekal.com/quest-ce-qu-un- ... b_scraping
https://fr.wikipedia.org/wiki/Web_scraping


-------------------------


Edit du 27/22/2024

2024-11-27_183331.jpg

Il s'agit d'une autre base plus complète de 10 millions de joueurs FR couvrant les années 2021-2022-2023-2024 mais avec des données différentes
Visiblement le vendeur qui avait proposé celle ci le 11 novembre et la remets actuellement en jeu, ne trouve pas preneur

Ce qui apparait

Code : Tout sélectionner

- identifiant discord,
-  ip, 
- licence fivem, 
- steamid 

Ceci dit je doute des 10 millions de FR, ce n'est quand même pas la plate forme Steam et il n'y a pas que du scrapping du coup

[Parisien_entraide]

2024-10-26_154951.jpg

L'auto-école en ligne ORNIKAR victime d'un vol de données

La plateforme française, qui offre des cours de révision du code et permet de réserver des créneaux de conduite, a signalé à ses clients une "intrusion externe" dans ses systèmes.


4,3 millions de comptes dans la nature

D’après l’auto-école, aucunes données bancaires ni aucun mot de passe n’auraient été subtilisés.

Le vol concerne

Code : Tout sélectionner

- Noms, prénoms,
- Adresses mail,
- Numéros de téléphone
- Dates de naissance 
- Adresses postales.

ornikar.jpg

L'échantillon mis à disposition ne comporte que trois comptes, insuffisant pour prouver l’authenticité de son recel.
Néanmoins ORNIKAR a porté plainte et a diffusé un message, donc...

[Parisien_entraide]

2024-10-28_151914.jpg

Des Cartes d'identité et IBAN en vente (Il ne s'agit pas de FREE ou SFR)

1 million de français et françaises.
Le pirate propose, pour 300$, 15 000 identités et IBAN.
Le pirate n’indique pas la source de sa fuite (Il ne s’agit pas de Free ou SFR, il n’y a pas de pièces d’ID dans ces cas).

volm ibzn.jpg

Source : https://www.zataz.com/incident-de-secu ... ncernees/
-------------------------
RAPPEL

L'IBAN C'est quoi ?

1) L'IBAN, QUE PEUT ON FAIRE AVEC UN IBAN VOLE ? SCENARIOS

2) GARDE-FOUS, RECOURS, CONSEILS

3) CONSEILS-PREVENTION - PORTER PLAINTE

[Parisien_entraide]

Si on fait le bilan de ces derniers mois ce n'est pas terrible... (Et tout n'y est pas)

Pour le plus connu

vol de données septelbre 2024.png

[Parisien_entraide]

imolo.jpg

VOL DE DONNEES CHEZ : I-MILO

Dans la nuit du 23 au 24 octobre 2024, l’application i-Milo et le module décisionnel Similo, utilisés par les Missions Locales sur tout le territoire pour suivre les parcours des jeunes, ont été la cible d’une attaque informatique.

Cette intrusion, qui a permis le vol de données sensibles, concerne des millions d’enregistrements et d’identités. Un impact significatif pour un service qui, au quotidien, vise à accompagner les jeunes dans leur insertion sociale et professionnelle.

Dans cette attaque, il a été révélé que les informations personnelles des jeunes suivis, ainsi que celles des conseillers utilisant l’application, ont été exposées. Certaines données critiques, comme les coordonnées bancaires et les numéros de sécurité sociale, n’aient pas été compromises.



DONNEES VOLEES

Code : Tout sélectionner

- nom,  prénom,
- date de naissance, 
- nationalité, 
- adresses électroniques et postales, 
- numéro de téléphone des jeunes suivis par les Missions Locales. 

Pour les conseillers, les informations compromis incluent leur nom, prénom, lieu d’accueil et leur adresse.

2024-11-03_143655.jpg

Certaines données critiques, comme les coordonnées bancaires, numéros de sécurité sociale, carte vitale n’ont pas été compromises.


Ces informations sont susceptibles d’être utilisées pour des attaques de phishing ou d’autres formes de cyberattaques ciblant les personnes concernées. Les jeunes, souvent moins sensibilisés aux risques liés à la cybersécurité, sont des cibles faciles pour les cybercriminels.
Une fuite de cette ampleur expose les personnes concernées à des risques tels que l’usurpation d’identité, le vol de données personnelles, voire des tentatives de fraude.



Source ZATAZ avec d'autres détails (Visiblement les outils et "sondes" de SaxX ne fonctionnent pas toujours :-)
https://www.zataz.com/pirate-informatiq ... s-locales/

Edit du 4/11 (Curieusement daté du 31/10 alors que ce n'était pas en ligne à cette date vu que mon lien RSS ne l'indiquait pas)
https://travail-emploi.gouv.fr/un-prest ... lveillance

[Parisien_entraide]

2024-11-07_104635.jpg

Vol de données chez Schneider Electric


La société est considérée comme "Le géant français des équipements électriques" :
Transformation Numérique de la Gestion de l'Energie et des Automatismes dans le Résidentiel, les Bâtiments, les Centres de données, les Infrastructures et les Industries. Présent dans plus de 115 pays

Il ne s'agit pas de la première cyberattaque pour Schneider Electric :
En janvier dernier, le groupe français s’était retrouvé dans le collimateur des cybercriminels de Cactus. Spécialisé dans l’extorsion, le gang avait volé des données relatives à une division de Schneider consacrée aux énergies renouvelables. (Là ce ne sont pas des Go de volés mais des téraoctets de données.)
Quelques mois plus tôt, l’entreprise a été piratée par Clop, un géant des ransomwares, dans le cadre de la vague de fuites qui a suivi le hack de MoveIT.

En résumé au final on a :

Code : Tout sélectionner

28 Juin  2023 — cl0p ransomware
20 Février 2024 — Cactus ransomware
4 Novembre 2024 — Hellcat ransomware

Pas de bol pour Olivier Blum, qui était annoncé lundi en tant que nouveau PDG de Schneider et auquel les malveillants s'adressent (1)
La semaine commence sur les chapeaux de roues pour lui, et la machine à café pour les réunions a déjà fait un burn out

2024-11-07_101846.png

QU'EST CE QUI A ETE VOLÉ ?

D'après le hacker qui a profité d'une faille :

cette brèche a compromis des données critiques, notamment des projets, des problèmes et des plugins, ainsi que plus de 400 000 lignes de données d’utilisateurs, pour un total de plus de 40 Go de données compressées

En détails cela donne : 75 000 adresses e-mail uniques et noms complets des employés et des clients de Schneider Electric.
Le reste sont des projets, des problèmes et des plugins


La déclaration de Schneider Electric

Schneider Electric enquête sur un incident de cybersécurité impliquant un accès non autorisé à l'une de nos plateformes internes de suivi de l'exécution de projets, hébergée dans un environnement isolé",

et

"Notre équipe mondiale de réponse aux incidents a été immédiatement mobilisée pour répondre à l'incident. Les produits et services de Schneider Electric ne sont pas affectés."

METHODE UTILISÉE PAR LE PIRATE

Le pirate qui au passage est un mineur croate (il aura sa majorité dans quelques mois) mais qui a été aidé par un compatriote, explique avoir utilisé des identifiants déjà compromis pour entrer dans le serveur. Comme souvent, ce sont des données personnelles en fuite qui servent de point de départ aux cyberattaques.

Une fois qu'il a obtenu l'accès en exploitant un accès administrateur (Volé car il précise qu'il n'a pas acheté l'accès) à l’instance Jira de Schneider Electric

2024-11-07_103235.png

2024-11-07_103210.png

Il a bien affirmé avoir utilisé une API REST MiniOrange
En fait il s'agit d’une interface de programmation d’application

De là, dit-il,

" j’ai scrapé tout ce que je pouvais avant d’uploader un webshell ".

Ce dernier lui a permis d’accéder au serveur :

" et boom, nous avions la permission ALL NOPASSWD par défaut sur l’utilisateur en cours. Ce qui veut dire que nous avions un accès total au serveur ".

Mais le travail ne lui a pas pour autant été mâché :

" ils ont une sorte de sécurité qui ne nous permet pas de démarrer un reverse shell ou d’uploader quoi que ce soit et qui ne nous permet pas de télécharger des fichiers de plus de 300 Mo "

. Toutefois,

" nous avons donc divisé les fichiers de 300 Mo chacun et les avons sauvegardés, ailleurs, avant de télécharger ces segments d’archive".

Que ce soit d'application ou de gestion c'est la même chose... Il suffit d'un accès de type admin et hop !
Cela ne rappelle pas quelque chose ? Le vol de données de FREE bien sûr (Pour ne citer que le plus connu médiatiquement ces derniers temps)




QUE VEUT -IL ?

2024-11-07_100440.jpg

Le gang (même si derrière on ne voit qu'une personne car en fait ce hacker travaille seul généralement) réclame une rançon de 125 000 dollars (114 000 euros) en cryptomonnaie Monero, pouvant être réduite de moitié en cas de communiqué officiel de la part de la multinationale.
Il a fixé un ultimatum de 48 heures avant publication de l'intégralité des données dérobées.
Détecté pour la première fois le mois dernier, Hellcat ( Ex International Contract Agency (ICA) a déjà ciblé des institutions gouvernementales en Israël et en Jordanie ainsi que des établissements éducatifs en Tanzanie.
Néanmoins ils n'ont pas que cela à leur actif . Le vol de T mobiles récent par ex ou de General electric au Maroc (Base mise en vente au 18/09/2024)

Le côté comique de la chose c'est le fait de réclamer un paiement en ... Baguettes

Baguettes.jpg

A relativiser bien entendu car ils veulent être payés en cryptos avant tout, mais surtout si je reprends l'historique de ce groupe de hackers, vu qu'ils sont rarement payés au bout de 48h, ils diffusent


Pourquoi parler de ce hack qui ne vise pas particulièrement les utilisateurs "de base" (Ce n'est pas péjoratif) Français ?
Au delà de la rançon devant être payée en "baguettes", c'est tout simplement la méthode utilisée qui est d'une "relative" facilitée et qui n'a pas fini de parler d'elle


Pourtant en 2018 si on croit cette annonce de Schneider Electric

2024-11-07_105249.jpg

Depuis ils ont subi 3 vol de données
Comme quoi;..
---------------------------------------------------

(1) Curiosité, qu'aucun média ne révèle dans les menaces à l'encontre du nouveau dirigeant

Sur quoi c'est basé ? On ne sait pas. Le problème c'est que même si c'est faux, le hacker lui y croit

Ces derniers temps du fait de l'affaire Epstein, P; Diddy, on note de nombreuses attaques, dénonciations via des sites complotistes ou pas (Désigner le lapin, avec des tas d'allégations diverses et foireuses pour mieux cacher l'entrée du terrier) et cela se propage dans ces milieux underground

2024-11-07_105153.png

En Fr

2024-11-07_114154.png

---------------------------


Edit du 08/11/2024

Vu que Schneider Electric a refuse le paiement de la raçon (normal) c'est diffusé et disponible au téléchargement

2024-11-08_153033.png

2024-11-08_153337.jpg

--------------------


Edit du 18/11/2024

Le hackeur qui "gérait l"'affaire , a fermé son compte X, suite à la découverte de son identité par .. d'autres hackeurs
Cela confirme une source dans les Balkans (Croate ou pas)

schneder.jpg

[Parisien_entraide]

Vol de données chez ORANGE ?


La "fuite", du moins le vol de données concernerait 4.2 millions de clients et 2,1 millions d'IBAN avec en plus des données bancaires (cela vous rappelle quelque chose ? :-)


Vrai ou Faux ?
Pas trop le temps de m' y consacrer (Faut que je bosse quand même :-) mais déjà, cela parait suspect. Un vendeur pas connu dont c'est le seul post

Des pseudos vols d'ORANGE on en voit régulièrement, avec la mise en vente de données recyclées

Je pose cela là en attendant d'en savoir plus

Fuite Orange.png

[Parisien_entraide]

Les jours se suivent et.. Se ressemblent




Vol de données chez MOLOTOV.TV

molotov.png

Les données volées

Code : Tout sélectionner

- adresse email
- nom,
- prénom, 
- date de naissance des utilisateurs

« aucune donnée bancaire ni aucun mot de passe n’est concerné »

, rassure la plateforme de streaming.
Par contre ils ne précisent pas combien de gens sont touchés (Certaines sources indiquent 10 millions de comptes)





----------------------------------------------------------------------------------------------

picard.jpg

Vol de données chez PICARD


Les données volées :

Code : Tout sélectionner

- nom, prénom
- date de naissance
- adresse mail
- adresse postale,
- numéro de téléphone
- numéro de carte de fidélité
- les points de fidélité
- des bons de réduction ou avantages éventuels
- l’historique des commandes, 
- les tickets de caisse, 
- la liste d’achats
- tous les produits favoris.

La fuite affecte un total de 45 000 clients
Les personnes concernées ont ou vont recevoir un mail

Picard précise que les informations bancaires de ses clients ne sont pas touchées.
En effet, celles-ci « ne sont pas accessibles sur votre espace client, y compris si vous les aviez enregistrées pour des achats ultérieurs »


Edit : Je trouvais le nombre de personnes affectées un peu faible et je n'avais pas reçu de mail. En fait c'est normal, surtout que Picard conseille d’opter pour des mots de passe uniques et sécurisés.

Il n'y a pas eu d'attaque sur Picard, mais du credential stuffing.
https://www.cnil.fr/fr/definition/crede ... formatique

En fait c'est du recyclage émanant d'autres vols avec les mêmes login et mots de passe utilisés

[Parisien_entraide]

2024-11-29_004349.jpg

Je ne vais pas traiter du vol de données concernant les employées AMAZON (pas les clients) car je n'ai pas eu le temps de chercher si des FR étaient concernés (Cependant on voit d'autres pays que le .com) mais le hacker derrière le vol n'a pas l'intention de diffuser/vendre

amazon vil.jpg

Néanmoins et cela a été confirmé par AMAZON, cela concerne 2,8 millions de lignes de données sur les employés d'Amazon, y compris les noms, les coordonnées, les emplacements des bâtiments, les adresses e-mail, etc.

En fait le plus important c'est que le hacker (Nam3L3ss) a profité d'une faille du programme de transfert MOVE IT
La vulnérabilité, est connue sous le nom de CVE-2023–34362, et a conduit à l'une des fuites les plus substantielles d'informations sur les entreprises l'année dernière, affectant divers secteurs, notamment la finance, la santé, la technologie et la vente au détail.

Les données qu'il a trié datent de mai 2023 mais ce n'est pas le pire
Voila ce qu'il a pu voler
Et on retrouve là des vols de données qui sont en vente depuis ces derniers mois, comme HSBC, LENOVO, 3M, Mc Do.. par d'autres intervenants profitant de la faille

Nam3L3ss, affirme que la violation ne représente qu'une infime partie des données dont ils disposent et qu'il a l'intention de partager davantage dans les prochains jours

Entreprises touchées et décomptes des enregistrements :

Amazon — 2,861,111 records
MetLife — 585,130 records
Cardinal Health — 407,437 records
HSBC — 280,693 records
Fidelity (fmr.com) — 124,464 records
U.S. Bank — 114,076 records
HP — 104,119 records
Canada Post — 69,860 records
Delta Airlines — 57,317 records
Applied Materials (AMAT) — 53,170 records
Leidos — 52,610 records
Charles Schwab — 49,356 records
3M — 48,630 records
Lenovo — 45,522 records
Bristol Myers Squibb — 37,497 records
Omnicom Group — 37,320 records
TIAA — 23,857 records
Union Bank of Switzerland (UBS) — 20,462 records
Westinghouse — 18,193 records
Urban Outfitters (URBN) — 17,553 records
Rush University — 15,853 records
British Telecom (BT) — 15,347 records
Firmenich — 13,248 records
City National Bank (CNB) — 9,358 records
McDonald’s — 3,295 records



Edit : Il va falloir s'attendre à ce que d'autres sociétés/entreprises apparaissent puisque le nombre de cibles et vol réussis est estimé à 2 800


---------------------------------

Edit du 29/11/2024

Le hackeur et vendeur (fiable et connu) a quelque peu modifié son annonce; J'ai donc changé la capture qui figure en premier

De plus on apprend par la Suisse que cela fait suite du piratage, dès 2023, d’un prestataire informatique inconnu du grand public, l’américain Progress Software.
En Suisse, UBS et DSM-Firmenich ont subi le vol de données concernant leurs employés.

Dans la liste il était dit US BANK. Il s'agit donc bien de l'UBS Suisse

L'auteur se justifie
https://nam3l3ss.bearblog.dev/

et a posé un manifeste (C'est à la mode :-)

2024-11-29_005310.jpg

Et il se protège en déclarant publiquement en chat (Avéré ou pas)

Nam3L3ss.jpg

[Parisien_entraide]

citoyen fr.jpg

Impossible d'en savoir plus, mais le vendeur est bien connu pour son sérieux


La base comporte 28 284 personnes



Dans les données volées

Code : Tout sélectionner

- Nom et prénom
- Téléphone perso et pro (certains cas)
- Adresse physique
- Numéro de passeport
- Numéro de compte bancaire,  IBAN
- Données financières (salaires, employeur, ....)

[Parisien_entraide]

2024-11-19_110612.png

Vol de donnée chez l'hebdomadaire le POINT


Cela concerne 900 000 personnes (dont des anciens abonnés)


Les données voléés

Code : Tout sélectionner

Nom
Date de naissance
Adresse postale
Mail
Numéro de téléphone

Et le tout en vente pour.. .350 euros


Le point minimise l'affaire en citant tous les autres vol de données de ces dernier mois subis par d'autres titres de presse et sociétés FR, estimant je suppose qu'il ne pouvait en être autrement les concernant (Dans la série : A qui le tour ?)

Source : https://www.lepoint.fr/high-tech-intern ... _47.php#11

-----------------------

Edit du 23/11/2024

Quelques précisions apportées par ZATAZ
https://www.zataz.com/piratage-du-journ ... lisateurs/

Dont : "La fuite proviendrait d'un "partenaire" infiltré via un stealer"