🛡️ Vol de données : 150 millions de données d’internautes français sont en vente

[Parisien_entraide]

epicier.jpg

Le site : https://www.albertmenes.fr/fr/

En septembre 2024, Albert Ménès, une entreprise française renommée qui fabrique des produits alimentaires de haute qualité depuis 1921, a été victime d'une violation de données. Basés en France, ils se spécialisent dans une large gamme de produits, notamment des confitures, des herbes séchées, des mélanges d'épices, etc. Leurs produits sont particulièrement réputés pour leurs confitures et tartinades, préparées avec les meilleurs ingrédients et élaborées à la perfection.

La fuite a exposé au public 21 158 clients.

2024-11-24_161633.jpg

Données compromises : "id_customer","company","siret","firstname","lastname","email","passwd","birthday","ip_registration","secure_key"
(pas de données bancaire)

Il s'agit d'un autre exemple de site dont les données volées ne figureront pas dans les news des grands medias (fuite de septembre mais remise sur le tapis suite à une question par quelqu'un qui cherche à exploiter la base)

---------------------

Edit du 17/12/2024

Le vendeur initial a été viré pour différentes raisons mais la vente est reprise par un acteur bien connu

Albermernse new.jpg

[Parisien_entraide]

Juste pour signifier ce qui passe presque tout les jours
On retrouve toujours et "heureusement (?) le meme genre de données (Identité, adresse physique, mail mais sans mot de passe)

Il s'agit parfois de nouveaux hacks, parfois de recyclage en croisant les bases de données volées, et le tout trié par de l'IA
Parfois c'est gratuit (le "vendeur" veut se faire connaitre) parfois non ou alors à un prix ridicule

autre vente.jpg

Autre 2.jpg

Autre 3.jpg

Edit :

combo.jpg

[Parisien_entraide]

SFR 2.jpg

Vol de données SFR



Il s'agit d'un point, car c'est devenu un véritable bazar (On voit apparaitre un peu de tout - Capture ci dessus)
Néanmoins la menace du 24/11 a été mise à exécution.
(Dernier Edit de viewtopic.php?p=561772#p561772 )

La preuve (même si on peut avoir les données gratuitement ailleurs)

SFR nouvelle fuite.jpg

--------------------------------------------------------------

HISTORIQUE

SFR
- Juillet 2024 viewtopic.php?p=556890#p556890
- Septembre 2024 viewtopic.php?p=558582#p558582
- Novembre 2024 viewtopic.php?p=561772#p561772 (D'autres données ou les mêmes ?)

RED BY SFR Septembre 2024 viewtopic.php?p=559223#p559223




NOVEMBRE : CE QUI EST NOUVEAU



Certaines données étaient accessibles et des "vendeurs" s'en attribuent la paternité, ou même vendent ce qui est était mis gratuitement à disposition ou alors refont des packages avec ce qui était en vente ("Certain" ont meme acheté en juillet une base 3 000$ qui en fait était mise à disposition gratuitement par le véritable hackeur)
Là malgré les dires du "hackeur" on dirait une compilation de tout ce qui avait été annoncé auparavant

Pour une fois je vais reprendre le déroulé de l'histoire (En fait il y a une histoire dans.. l'histoire :-) de SaxX, puisque son équipe a du complément que je n'avais pas le 24/11 (Et il a le temps)
Par contre il se plante sur les chiffres. En effet on trouve des gens qui ont un abo Free mais un abo mobile RED By SFR, ou des gens qui apparaissent parfois 5 ou 6 fois dans les différentes listes




PREMIERE HISTOIRE

Je cite, sans la partie qui relève du côté émotif https://x.com/_SaxX_/status/1860777315753672789 )

"Les 3,6M de données des clients SFR finalement diffusés gratuitement après que l'opérateur SFR démente la nouvelle cyberattaque menée par un groupe cybercriminel français

En tout début de soirée, ce dimanche, suite aux démentis apportés par SFR, le groupe cybercriminel n'a résolument et apparemment pas aimé ces allégations..."

En effet, un journaliste de Franceinfo, Luc Chagnon, avait contacté l’opérateur français, qui démentait l’attaque

15k sfr ment.jpg

"Aussi, ils ont tout bonnement diffusé, et ce GRATUITEMENT, 3,6M de comptes de clients appartenant à SFR.

Pour rappel, en milieu de journée, ce même collectif cybercriminel disait détenir 3,6M de comptes piratés chez SFR au travers d'un outil de gestion, SIBO360. La base de données était mise à prix à 500€ en cryptomonnaies.

Il faut croire hélas que c'est bien eux qui avaient raison et que la communication de l'opérateur de téléphonie SFR ne collait en rien avec les 50 000 dossiers du précédent piratage remontant à quelques semaines.

Entre le piratage de FREE et ce nouveau piratage de SFR, c'est aujourd'hui les données de 19,2M + 3,6M soit 22,8M de français dans la nature."

-------------------------------------------------------------------------------------------------

L HISTOIRE DANS L HISTOIRE

Source https://x.com/_SaxX_/status/1860949787865935892

------------------------------------------------------------------------------

Le collectif cybercriminel français derrière le piratage de SFR publie un nouveau message pour se dédouaner... (?!) C'est totalement lunaire

Accrochez-vous parce que cette histoire prend d'autres proportions... Depuis quelques jours, je vous fais part des cyberattaques lancées par un tout nouveau groupe cybercriminels qui sont français !

Ils s'en sont pris à quelques entreprises françaises dont certaines de premier plan allant jusqu'à publier gratuitement les données de 3,6M d'abonnés de SFR, l'opérateur de téléphonie.

Eh bien, rien qu'hier encore, vers minuit, un message sorti de nulle part et qui pose énormément de questions...

On apprend qu'un des leaders de ce groupe cybercriminel français serait à Dubaï et vivrait "sa meilleure vie" selon ses dires...

Qu'il a publié des captures d'écran où il dit détenir des accès dans des systèmes de gestion d’utilisateurs comme Hexalis, SFR, La Poste Mobile, Meta, TikTok, la Gendarmerie nationale, Orange, ...

Certaines captures d'écran sont très douteuses... mais passons

Il dit que certaines failles sont certainement dues à de la complicité interne... ou des personnes qui ont pu avoir leur compte piraté et donc ils ont eu ainsi accès aux données...

Il donne le nom d'une personne qui serait impliqué dans plusieurs cyberattaques en France.
Doit-on comprendre que certains n'ont pas assez protégé leur identité avant de se lancer dans des activités de piratage totalement illicites ???!!!

Dubai.jpg

Qu'il veut se racheter de ses actes, aussi, il fait preuve de mansuétude dans sa grande magnanimité et donne les sites vulnérables pour qu'ils soient corrigés...
ça prête à sourire...

Qu'il veut que toutes les enquêtes à son sujet et son collectif cesse...

Je pense que ce sera tout l'inverse vu les infos qu j'ai pu avoir en off. Je vous en reparler très prochainement

-----------------------------------------------------------------------------------------

Un vrai roman tout comme avec FREE :-)
Bon SaxX en rajoute avec son "infos en off" car il y a une suite logique, et c'est normal et il n'y a pas besoin de boule de cristal, c'est comme avec FREE ou LDLC par ex


Le nom qu'il cache il est facile de l'avoir ailleurs
De toutes les façons à la base il y a le groupe "Near2tlg" (Ex nears) qui comprend plusieurs membres dont.. "near" (Un Français)

C'est là que l'on voit que ces "hackeurs"' qui se disent "hacktivistes", agissant "pour le bien", mais n'hésitant pas à VENDRE les données des utilisateurs qui n'ont rien demandé à personne, (Il ne manquerait plus qu'il se déclarent éthiques :-) N"ont AUCUNE morale, sont des LÂCHES, n'ont AUCUNE éthique, et devant le danger des poursuites, se disent à l'autre bout de la planète (Dubai est la destination de....) et vont dénoncer leurs sources ou connaissances
Il faut se rappeler que la majorité traine des problèmes d' EGO, voir psychiatriques (Le shit et la coke ca n'aide pas non plus sans compter pour certains la consanguinité) et ils sont prêts à tout

-----------------------------------------------------
Edit du 26/11/2024

- Le 21 novembre, Nears a posté un échantillon SFR de 2 500 lignes sur sa chaîne télégramme
- Le 24 novembre, sur la même chaîne télégramme, un échantillon SFR de 936 lignes
- Le 24 novembre également, une version plus complète de l'échantillon précédent de 3 613883 lignes (1 806889 lignes uniques)

Dans ce dernier fil, il s'agit d'une version plus complète du premier échantillon du 21 novembre, avec 115 500 lignes.
les deux fuites proviennent de Nears

Dans la base donnée à tout le monde il y a 1 445 584 lignes et le fichier originel est en date du ...12 juillet 2024

Il y a des doublons, du moins au niveau des noms car on voit par ex pour le meme nom reproduit 4 ou 5 fois, des lieux à différents endroits avec en plus la latitude et longitude, mais.. qui sont identiques alors que les emplacements/noms indiqués, diffèrent
Une compilation de données anciennes et récentes ? Des données chez SFR qui ne sont pas effacées ? ... Difficile de savoir

Par ex le meme nom, meme numéro, meme latitude/longitude pour CARREFOUR CITY TOULOUSE, EUROMASTER TOULOUSE FRONTON et d'autres

ou alors un ""CAISSE D EPARGNE " et toujours pour le même numéro de téléphone "CREDIT AGRICOLE"
Il ne s'agit pas d'une vente de locaux et reprise, puisque si on fait une recherche, le numéro de rue est complément différent et de plus l'un est en numéro pair et l'autre impair mais.. dans la meme rue
Mieux.. toujours pour ce meme numéro de téléphone, on tape toujours dans la même rue mais avec presque 120 numéros d'écarts dans la rue avec une entité qui apparait différente du secteur bancaire

Pour d'autres il y a la meme adresse, mais.. Affinée Ex fictif : Rue d' ARRAS puis une autre ligne au 130 Rue d'ARRAS (mais pas de ville)
Cela n'est en rien lié à des achats de smartphones puisque ce sont des numéros de téléphone fixe
Des points de raccordements ?

C'est simple n'est ce pas ? :-)

---------------------------------------------------------


Edit du 28/11/2024


(...) "SFR suggère que les données revendiquées le 24 novembre proviennent en partie de la cyberattaque de septembre dernier, où 50 000 dossiers clients avaient déjà été volés. Un incident de sécurité qui avait alors été dûment signalé et traité, selon les déclarations officielles de l'opérateur.

La riposte des hackers n'a pas tardé.
À peine quelques heures après le démenti de SFR, Near2tlg a publié l'intégralité du fichier détenu, gratuitement, sur Telegram.
La motivation ? Une forme de vengeance et de démonstration de force. « SFR préfère mentir à ses clients », ont proclamé les cybercriminels, transformant cette attaque en un bras de fer médiatique où chaque camp tente d'imposer sa version des faits. Alors qu'en est-il réellement ?

Les réponses de l'opérateur

Contacté par Clubic, SFR a confirmé que « les investigations menées à la suite des revendications faites ce dimanche 24 novembre laissent toujours penser que les éléments rendus publics sont relatifs à un incident passé, résolu et déjà public ». L'opérateur réaffirme avoir « pris toutes les mesures nécessaires pour sécuriser les données concernées » et avoir « notifié cet incident aux clients et aux autorités », notamment la CNIL.

En réalité, la cyberattaque revendiquée il y a quelques jours ne pourrait être qu'une compilation de données issues de différentes fuites antérieures. Les informations, bien que personnelles, avec les nom, prénom, e-mail, adresse postale et date de naissance, semblent être un assemblage d'anciens leaks, qui présentent des doublons et des données potentiellement dégradées ou incomplètes."


Source : https://www.clubic.com/actualite-545255 ... lique.html

On en revient bien à une compilation de différentes données contrairement à ce que raconte les hackeurs
Du reste il suffit de regarder en détails ce qu'ils ont mis en circulation


Comme pour FREE où j'indiquais

Règle numéro 1 : Ne jamais croire les dires d'un hacker. On peut juste faire semblant de le croire
Règle numéro 2 : Se référer à la règle numéro 1

Cela s'applique également dans ce cas, même si il ne faut pas rester naîf envers les déclarations de SFR qui a besoin de redorer son image et est en mauvaise posture financière au point de vouloir basculer en MVNO avec tout ce que cela implique

---------------------------------

Edit du 07/12/2024

Et cela continue de circuler (Avéré ou pas)

Le "vendeur" indique " 7,956,404 "... (des "lignes" en vrac puisque pour une personne on a 3 lignes par ex. Même si on divise par 3 à l'arrache cela fait 2.6Millions de personnes.. Encore un chiffre curieux

Donnes sdr.jpg

Il apparait

Code : Tout sélectionner

Numéro de tph mobile
Date de fin de contrat abonnement mobile (18/05/2025)
Identité
Adresse physique
Adresse mail
Date de naissance
IBAN
RIB
Nom de la banque

[Parisien_entraide]

CTS societe.jpg

Vol de données confirmées à la CTS Strasbourg

Cela n'a pas fait grand bruit (Sauf localement) mais
https://www.dna.fr/faits-divers-justice ... es-clients

Ce n'est pas un vol de données ni une fuite du site et de la Sté
On a là une attaque qui semble classique mais que l'on voit de plus souvent du fait du nombre de bases de données volées :
Le Credential Stuffing https://www.cnil.fr/fr/definition/crede ... formatique
Pour résumer on utilise des identifiants sur d'autres sites (cela peut etre automatisé via des bots, et c'est souvent l'erreur des malveillants ces feignasses :-) , car c'est comme cela qu'il se font détecter (Diverses protections du site attaqué qui va croire par ex à une attaque DDOS)


Certain "'lanceur d'alertes" (Non je ne citerai personne :-) avait annoncé des vols comme sur Intermarché par ex, alors qu'il s'agissait de Credential Stuffing (technique qu'il a découvert par la suite)


La façon de procéder est simple ; Il suffit de récupérer X bases de données volées, ou via phishing etc d'isoler les gens habitant à Strasbourg, que l'on peut affiner ensuite comme par ex l'usage de certaines adresses mail (wanadoo.fr, yahoo.fr par ex) ce qui peut donner une tranche d'âge (des "anciens") qui vont réutiliser la meme adresse mail et mot de passe un peu partout
Du reste à ce sujet, les personnes dites "âgées", sont plus au fait de ces techniques de vol de données et c'est la tranche des 25 à 35 ans qui figure en tête des mauvais usage d'internet et ne savent pas se protéger
Mais bon c'était juste un ex, basique de surcroit, car il y en a d'autres

La Compagnie des transports strasbourgeois (CTS) informe ses clients de la « consultation anormale de certains comptes », survenue jeudi 21 novembre. « Des identifiants et mots de passe ont été volés sur des sites ayant été victimes de fuite de données. Certains de ces identifiants et mots de passe étant communs à ceux utilisés pour accéder aux comptes clients CTS, des connexions frauduleuses à certains comptes clients - une centaine a priori - ont ainsi été rendues possibles rendant accessibles les données y figurant

Ce qui fait que la Sté a collé un avertissement lorsque l'on va sur son site (image ci dessus)
et a envoyé (mais a priori tout le monde n'a pas reçu) ce message

CTS Strasbourh.jpg

[Parisien_entraide]

Banque de france.jpg

Vol de données -Supposé (1) - à LA BANQUE DE FRANCE



(1) Pour l'instant malgré les demandes émanant de certains groupes de presse et autres acteurs du net, il n'y a AUCUNE réaction de la banque de France. Ce n'est pas bon signe
Un démenti aurait vite résolu la suspicion de vol


Je gardais ce vol sous le coude depuis 3 ou 4 jours, parce que déjà il n'y a que cet unique message Telegram, et aucune trace sur les places de marché, mais le manque de réaction de la Banque de France laisse planer le doute (Comme le manque de réaction de FREE qui par la suite à confirmé le vol)


Aux vues de ce qui est avancé concernant le vol

- identité des employés, poste, salaire
- identité des clients, comptes bancaires, historique webmail
- documents stratégiques, rapports financiers

le prix est ridicule (10 000$ même si c'est pour appâter et faire monter les enchères)
-----------------------------

Je complète donc avec des articles plus récents de
https://www.01net.com/actualites/banque ... nnees.html
et de SaxX
https://x.com/_SaxX_/status/1860252406652571748

Pour appâter les acheteurs, le collectif a mis en ligne un échantillon de données. On y trouve « des documents internes sur des fiches de poste et d’autres documents administratifs

Les données prennent la forme d’une présentation interne d’une quarantaine de pages relatant les ambitions de la Banque de France pour 2020. A priori, ces informations ne sont pas particulièrement sensibles.

SaxX indique

Dossiers complets des employés (identités, postes, salaires, adresses, etc.)
Informations clients sensibles : identités, comptes bancaires et historiques de transactions.
Webmail (Outlook)
Documents internes confidentiels (stratégies, rapports financiers, communications sensibles).
Et bien plus encore...

Derrière on a toujours le groupe " Near2tlg" qui est aussi derrière le vol de données de SFR et autres



En attendant au 6 novembre la Banque de France communiquait, ironie de la chose, sur :

https://x.com/banquedefrance/status/1854182998398120237

2024-11-26_005438.jpg

------------------

Edit du 06/12/2024

"La Banque de France affirme que ses données n’ont pas été dérobées par les pirates.
La banque assure qu’il « n’y a pas eu d’attaque sur le système d’information sécurisé » ayant permis d’exfiltrer des informations.

En revanche, la banque centrale a bien enregistré « un accès extérieur occasionnel sur un extranet RH (ressources humaines) ». Pour bloquer l’accès aux cybercriminels, cet extranet a été promptement fermé.

Lors de l’intrusion, « aucune donnée personnelle ou financière sensible n’a été compromise ».

Sur Telegram, les pirates continuent cependant de mettre en avant la base de données volées, dont un échantillon est disponible.

On a l'impression que la Banque de France joue sur les mots et minimise la chose...
Déjà cela parle d'un accès à un extranet RH..."promptement fermé"... En quelques minutes suivant le débit il peut s'en télécharger des choses, et jusqu'à preuve du contraire un RH a des informations sur les employés

Ensuite il n'est pas dit qu'il n'y a pas eu vol, mais qu'il n'y a pas de données "sensibles" (Aux yeux de qui et pour qui ?)
Peut etre que la Banque de France veut parler du fameux fichier "xxx" qui contient tous les clients de toutes les banque qui doit bénéficier de mesures de sécurité renforcée et qui donc n'a pas été touché ?
Il est vrai que certains documents datent de 2020, mais ce n'est pas une preuve de non importance du contenu

Cela rappelle le mode de défense habituelle :(En paraphrasant) "Tout à été volé, mais ne vous inquiétez pas, votre mot de passe ne figure pas dans la liste, ni les données concernant les investisseurs"

Derrière le vol on a "Near2tlg" le hackeur, qui jusqu'à présent n'a JAMAIS présenté de fausses ventes pour arnaquer ses "'clients"

[Parisien_entraide]

mairistem.jpg

Vol de données chez MAIRISTEM



Avec le petit message formaté en copier coller que tout le monde adopte

mairis1tem.jpg

Il est précisé que "l'intégrité et la confidentialité des données hébergées n'est pas en cause" (1)


CE QUI A ÉTÉ VOLÉ

Code : Tout sélectionner

- Nom de la collectivité
- Compte utilisateur
- Identité complète (Nom, Prénom)
- Adresse mail
- Numéro de téléphone

Les mots de passe ne sont pas concernés (mais on se demande ce que comporte le compte utilisateur)


Voila encore un vol de données de site pas connu du grand public, qui passe inaperçu, mais celui ci a une particularité


Déjà on note le blabla marketing, insipide, habituel , sur le site

Des solutions pour tous les métiers de la collectivité

Précurseur dans le domaine de la dématérialisation depuis 40 ans, Mairistem propose une suite de logiciels complète et modulaire qui fournit tous les outils nécessaires à la gestion de la collectivité. Les solutions numériques Mairistem vont aussi plus loin, en s’adaptant aux préoccupations quotidiennes des élus et des citoyens.

Ils sont surtout capables de tirer un max de subventions pour les collectivités (notre argent en fait)


et du blabla pseudo écolo tendance.. et heu.. non je vais être méchant là :-)

- Notre démarche est celle de mettre en place des actions concrètes pour nous permettre de réduire nos émissions de CO2 et notre empreinte carbone. (...)
- 16 référents ont suivi une formation de sensibilisation aux conduites addictives. L'objectif était de leur donner les clés utiles pour adapter leurs comportements et agir face à ces situations délicates, liées aux addictions.

Addicts à quoi ? A l'alcool ? A la drogue ? Au chocolat ?
Alors Oui certaines addictions ne sont pas bonnes, mais de quel droit cette ingérence ? (En plus on trouve majoritairement des photos de leurs équipes un verre à la main, pour fêter je ne sais quoi, ou dans des réceptions)
Je n'ai pas trouvé de fiche sur "Comment bien manger équilibré et réduire l'empreinte carbone" à la cantine du midi mais cela ne saurait tarder


Mais le meilleur est à venir :(Ce qu'ils ne sont pas capables d'appliquer pour eux)

cybersecu.jpg

2024-11-27_105352.jpg

En plus le mois d'octobre était consacré à .. la Cybersécurité
https://x.com/JVSMairistem

(1) Ahhh il y avait un séminaire sur le sujet.. Ouf :-)

2024-11-27_105450.jpg

Mais

2024-11-27_105420.jpg

Visiblement vu qu'ils sont incapables d'appliquer, de mettre en œuvre, bref de se protéger, alors qu'ils le proposent ailleurs, je pense qu'ils doivent être en état de choc... Je conseille :

- Des cours de yoga pour évacuer le stress vu ce qui s'est passé, et le tout avec un accompagnement psychologique afin d'éviter des traumatismes
- Des séminaires d'introspection, à poil dans les bois, au plus près de mère nature, pour une remise en cause et pas dans les locaux chauffés afin de réduire l'empreinte carbone
- D'embaucher sur les compétences

[Parisien_entraide]

2024-11-27_181342.jpg

Au mois de septembre il avait été fait état d'un Vol de données chez NORAUTO (mais sans précision)

C'est confirmé puisqu'en vente, mais il n'y a pas de détail sur les données volées, hormis ce qui apparait dans l'échantillon tronquée
On peut supposer que le mail est présent

Code : Tout sélectionner

Identité
Adresse
Numéro de téléphone
ID client et identifiant
....

Cela concernerait 78 000 lignes de données (une ligne par personne)

Par contre le vendeur indique

J'ai également accès à un panneau d'administration pour gérer le paiement (nous pouvons envoyer des mails et des messages)

Qu'il vend pour ...200€


------------------------------------------

Edit du 03/12/2024

Norauto a envoyé un message :

Norazuto.jpg

Dans le message il est fait état d'un "numéro de pièce d'identité"... sans plus de détail (une copie scannée ?)
Le vol du mail est confirmé aussi (Logique, le mail si ce n'est le numéro de téléphone sont maintenant systématiquement demandés partout)

Tout comme un vol d' IBAN (mais qui est à relativiser) le vol/copie d'une pièce d'identité peut servir à de l'usurpation d'identité


-------------------------------------------------
Edit du 06/12/2024

En aout était apparu une base sur Telegram

fausse base tuqye.jpg

Mais un petit malin l'avait récupéré et présentait la chose comme une VRAIE base, et indiquant que l'autre (la vraie) était fausse :-)
(Le vendeur a des liens avec les turcs)

fausse base norauto.jpg

Mais plus intéressant, cet article de ZATAZ
https://www.zataz.com/fuites-de-donnees ... frerots-k/

et qui rejoint ce qui avait été dit ici
viewtopic.php?p=559329#p559329

[Parisien_entraide]

ixob.jpg

Vol de données chez IXOB.FR




En temps normal je pense que je n''en n'aurais pas fait état (pas le temps de tout contrôler car il y en a trop) mais ce vol de données présente une particularité
Déjà la proposition date de juillet, et n'intéressait pas (relativement) grand monde, parce qu'il n'y avait pas les mots de passe, et que personne ne connaissait ce site (il était même demandé si il était connu - Traduire : Très fréquenté)

La vente a eu plus d'attrait et relancée,.. le jour où quelqu'un a indiqué que le site n'était pas connu mais.. sûrement fréquenté par les plus de 65 ans

Effectivement on peut le penser aux vues de ce qui est proposé et parfois/souvent pour du matériel ancien



Site : https://www.ixob.fr/

Pièces détachées électroménager, sac aspirateur, filtre aspirateur, brosse, filtre de hotte, joints de cocotte...
Nous vous souhaitons la bienvenue sur notre site Ixob.fr, site spécialisé dans la vente de pièces et accessoires pour l'électroménager. Des milliers de références disponibles. Nous proposons des produits adaptables et également des pièces d'origine fabricant.

De plus en effectuant quelque recherches, il y a effectivement des personnes âgées (prénoms caractéristiques de certaines tranches d'âge) et/ou isolées ou disposant de peu de moyens


On voit dans les annotations

",Klaxonnez une fois arriver au portail"

ou

adresse campagnarde,Si boîte aux lettres au nom de xxxxx trop petite merci d'appeler par téléphone

Bref les salopards vont en profiter pour cibler ces personnes âgées.
De vraies pourritures

[Parisien_entraide]

2024-11-28_140052.jpg

Un nouveau "leak" de 390 millions de personnes pour FACEBOOK

Code : Tout sélectionner

_ UID
_ Nom 
_ Email
_ Pseudo ou nom Facebook
_ Numéro de téléphone
_ Localisation
_Anniversaire
_ Genre (Homme, Femme)

Les données sont réelles, récentes et vérifiées (Il y a juste parfois les dates de naissances qui n'apparaissent pas

Cela concerne tous les pays. Pas lié à une adresse mail (on trouve de tout)

Ex de ligne (j'ai tout modifié)

Code : Tout sélectionner

"100001453385183","Robert Bidochon ","[email protected]", Bidochon "Trou perdu - Dpt Creuse.",France "07/05/1978","male"

Bref que du classique mais toujours embêtant si recoupé avec d autres bases

[Parisien_entraide]

Darty.jpg

Possible vol de données chez DARTY


Il y avait eu un vol présumé de 3,5 millions de données de DARTY en septembre et démenti par l'enseigne,
viewtopic.php?p=559329#p559329
mais là on a des données différentes et elles ne concernent que 130 000 personnes avec le compte DARTY

L'auteur indique "130 000 utilisateurs, y compris e-mail et mot de passe. "
Je ne sais si c'est mal formulé, mais toujours est il que figurent les données de compte

Code : Tout sélectionner

- adresse mail
- mot de passe

J'attends une réponse de confirmation via un autre biais pour savoir si les données sont réelles ou pas, et pas issues d'un ancien leak ou d'une base nettoyée etc



Le vendeur n'est pas un hackeur, il est connu pour faire de la récup, sans trop connaitre le contenu
Par ex avec LIDL il a été obligé de changer le titre car c'est tiré de logs serveurs et non d'un hack

Lidle.jpg

[Parisien_entraide]

Alliance expert camouf.jpg

Vol de données chez ALLIANCE EXPERTS

Description auteur de la vente

"

CERTAINES DES ACTIVITÉS DE L’EXPERT EN AUTOMOBILE SONT RÉGLEMENTÉES PAR LE CODE DE LA ROUTE :
Evaluer les dommages causés à tous véhicules à moteur il rédige un rapport d’expertise dans lequel il consigne l’origine, la consistance, la valeur et les conditions de réparation des dommages.
Evaluer la valeur des véhicules à moteur il rédige un rapport d’expertise dans lequel il consigne son appréciation de l’état général du véhicule et le résultat de son étude de la valeur sur le marché concerné.
Prévenir les dommages aux personnes et aux biens en toutes circonstances, il informe le propriétaire du véhicule expertisé de tous les défauts affectant la sécurité de son véhicule. après un accident de la circulation ou en cas de mise en fourrière du véhicule, il déclare au ministère de l’Intérieur les véhicules dangereux en l’état. en cas d’opposition enregistrée sur le certificat d’immatriculation (CI), il assure le suivi et le contrôle des réparations réalisées sur le véhicule endommagé pour certifier, dans le rapport de conformité qu’il rédige, que le véhicule concerné est de nouveau apte à circuler dans des conditions normales de sécurité.
Le rapport de conformité délivré par l’expert en automobile permet la levée de l’opposition enregistrée sur le CI.

Le site : https://alliance-experts.com

allanice le site.jpg

Taille complète de la base de données : 45 Go au format csv
Celle ci couvre la période 2020-2024
Pour 2024 c'est récent puisque j'ai relevé une date de prise en charge de véhicule au 22/11/2024 à 16:59:37



SUR LES DONNÉES

Les données contiennent des informations sur

Code : Tout sélectionner

- Les clients du service (Identité complète, mail, téléphone
- Des descriptions de documents, 
- Des envois SMS, 
- Des données sur la voiture (VIN, numéro d'immatriculation, modèle), et date de prise en charge du véhicule
- Un dossier de chaque examen du véhicule et description du problème
- Endroit de la réparation
- Description des succursales, des bureaux 
- Des coordonnées et des données personnelles des employés (dont identité, mail ,téléphone)

Dans les envois SMS on a le nom expéditeur et Sté pour le client et plein d'autres informations (j'ai mis une immat et sté factices) avec même des données techniques

ackMessage": "Votre email a bien ete traite",
notMessage": "Votre message a bien ete envoye"

Ainsi que le contenu du SMS

Bonjour, Suite à l'expertise de votre véhicule immatriculéAA-000-75, merci de vous assurer auprès de votre réparateur que l'ordre de réparation est bien signé. Cordialement. STE NOMMEE 21-25"

[Parisien_entraide]

ze caming.jpg

Vol de données chez ZE-CAMPING



Description du vendeur de données

Spécialiste de l’hébergement de plein air, Ze-camping c’est « Ze » tour-opérateur 100% camping, proposant des campings 3* à 5* soigneusement sélectionnés par nos équipes d’experts, selon une charte qualité en cohérence avec nos valeurs : la qualité, le confort, l’accueil et la convivialité.
Ces campings sont situés dans les plus belles régions touristiques de France : Bretagne, Côte atlantique, Sud-ouest et Méditerranée. Une chose est sûre, vous êtes au bon endroit pour trouver la destination parfaite pour vos vacances.

Le site https://www.ze-camping.fr/

ze camping le site.jpg

DONNÉES VOLÉES

38 Gb de données pour la période 2014 à 2024 dans 260 tables

Il s'agit du contenu de la fiche
Suivant les clients tout n'est pas rempli

Le mot de passe apparait mais il est "salé"

Le salage des mots de passe, aussi appelé password salt en anglais, consiste à ajouter une portion de données aléatoires au mot de passe avant de le soumettre à l'algorithme de hachage de façon sécurisée

Code : Tout sélectionner

- ID du dossier
- Identité complète
- Date de naissance
- Adresse physique
- Email
- Téléphone fixe
- Téléphone mobile
- Ide Facebook

- Provenance
- Parrain
- Affiliation

- Date de création de la fiche/Date de modificiation
- Date de dernière connexion
- Type client ; Vacancier (C'est un exemple)

Evidemment pour les prévenir un 0820 69 2222 à 0,20€ TTC / min. pas d'email...
En fait c'est une vraie plaie pour contacter ces sites à chaque fois

[Parisien_entraide]

Au passage il ne faut pas oublier les données volées par des ransomwares et qui ne sont pas ENCORE sur les places de marchés ou... qui n'apparaitront pas du fait de règlements de la rançon en interne

Néanmoins cela se voit de moins en moins, car les hackeurs jouent double jeu

- Ils se font payer une rançon (ou pas)
- Mais il diffusent ensuite les données plus tard (ce qui est relatif car on a vu parfois qu'il s'écoulait jusqu'à un an ou plus) pour les vendre au plus offrant

Il n'y a pas de petits profits pour eux

atub site.jpg

Exemple de la semaine (au 28 novembre): ALLTUB GROUP


Le site : https://www.alltub.com/

Alltub Group est l'un des principes fabricants de tubes pliables en aluminium, de tubes stratifiés et de bombes aérosols. L'entreprise dessert diverses industries, notamment les cosmétiques, les produits pharmaceutiques et l'alimentation.

Le groupe de ransomware Fog prétend avoir hacké ALLTUB GROUP.
Selon le message, des documents financiers internes et des contacts clients ont été exfiltrés.

goh.jpg

C'est juste un exemple. Même si, puisque pas de confirmation, le hack et ransomware sont au conditionnel, le group FOG est bien connu pour des actions avérées
De plus il faut savoir que Alltub, si on n'est pas du milieu, est une sté FR, donc plein de stés/entreprises avec un nom pas très équivoque passent sous les radars

-------------------

Dans ce moins de novembre il y a eu aussi dans les attaques ransomwares

- Le groupe INC Ransom affirme avoir infiltré les systèmes de PHARMATIS acquérant ainsi à des données sensibles
https://www.pharmatis.fr


- CiphBit a violé le réseau d'AXEON-360, chiffrant les données vitales et exigeant une rançon pour le décryptage.
Les assaillants ont lancé un ultimatum public, menaçant de divulgation des informations sensibles si leurs exigeances n'étaient pas satisfaites en une semaine
Les tactiques de CiphBit, sont majoritairement l'ingénierie sociale et l'exploitation des vulnérabilités
https://www.axeon-360.com

Et juste pour ce mois de novembre dans le "connu" en France, parce que revendiqués par les groupes de piratage

2024-11-29_121124.jpg

[Parisien_entraide]

Hellcat group.jpg

On reconnait là quelques "acteurs" de ce groupe dans quelques ventes de vol de données récemment, même si certains se sont fait bannir de "X" (Ex twitter) il y a quelques temps (comme quoi il y a bien des actions répressives sur X)

Edit : "Grep" est originaire de Zagreb (Croatie)

[Parisien_entraide]

Acces secu.jpg

Vente d'un accès à la Sécurité Sociale (Via son interface de gestion)


En attente de confirmation

Il s'agit d'une vente de l'accès à la Sécurité Sociale et non d'une vente de vol de donneés


--------------------------------------------------------------------

Une autre vente de type "Database" et qui n'a rien à voir avec ce qui précède, est en attente de confirmation vu qu'il n'y a pas de détails
Néanmoins vu le référenceur elle est réelle

------------------------------------
Edit du 07/12/2024

Il s'agit bien de l'interface de gestion
Reste à savoir si il s'agit d'un accès réel, ou d'une photo prise par dessus l'épaule de quelqu'un :-)

Interface de gestion.jpg