Marriott International souffre d’une violation de données record sur 500m

Il se passe tellement de choses chaque mois dans le monde de la cybersécurité, de la confidentialité en ligne et de la protection des données. C’est difficile de suivre!

Notre résumé mensuel de la sécurité vous aidera à garder un œil sur les informations les plus importantes sur la sécurité et la confidentialité chaque mois. Voici ce qui s’est passé en novembre.

1. Marriott International subit une violation de données record de 500m

Comme toujours, l’un des plus gros morceaux de nouvelles de sécurité arrive à la fin du mois.

En novembre, le groupe hôtelier Marriott International a révélé une énorme violation de données. On pense que jusqu’à 500 millions de dossiers clients sont concernés, car l’attaquant a eu accès au réseau de la division Marriott International Starwood depuis 2014.

Marriott International a acquis Starwood en 2016 pour créer la plus grande chaîne d’hôtels au monde, avec plus de 5 800 établissements.

La fuite signifie différentes choses pour différents utilisateurs. Cependant, les informations pour chaque utilisateur contiennent une combinaison de:

  • Nom
  • Adresse
  • Numéro de téléphone
  • Adresse électronique
  • Numéro de passeport
  • Information sur le compte
  • Date de naissance
  • Le sexe
  • Informations d’arrivée et de départ

Peut-être le plus important est la révélation de Marriott certains les enregistrements comprenaient des informations de carte cryptées, mais ne pouvaient pas non plus exclure que les clés privées avaient également été volées.

Le plus long et le plus court est le suivant: si vous avez séjourné dans un hôtel Marriott Starwood, y compris des propriétés en multipropriété, avant le 10 septembre 2018, vos informations pourraient avoir été compromises.

inscription au webwatcher du groupe hôtelier international marriott

Marriott prend des mesures pour protéger les utilisateurs potentiellement affectés en offrant un abonnement gratuit d’un an à WebWatcher. Les citoyens américains recevront également une consultation gratuite sur la fraude et une couverture de remboursement gratuite. À l’heure actuelle, il existe trois sites d’inscription:

Sinon, découvrez ces trois façons simples de protéger vos données après une violation majeure.

2. Bibliothèque JavaScript de flux d’événements injectée avec un logiciel malveillant de vol de chiffrement

Une bibliothèque JavaScript qui reçoit plus de 2 millions de téléchargements par semaine a été injectée avec du code malveillant conçu pour voler des crypto-monnaies.

Le référentiel Event-Stream, un package JavaScript qui simplifie l’utilisation des modules de streaming Node.js, s’est avéré contenir du code obscurci. Lorsque les chercheurs ont brouillé le code, il est devenu clair que son objectif était le vol de bitcoins.

L’analyse suggère que le code cible les bibliothèques associées au portefeuille Bitcoin Copay pour mobile et ordinateur de bureau. Si le portefeuille Copay est présent sur un système, le code malveillant tente de voler le contenu du portefeuille. Il tente ensuite de se connecter à une adresse IP malaisienne.

Le code malveillant a été téléchargé dans le référentiel Event-Stream après que le développeur d’origine, Dominic Tarr, a remis le contrôle de la bibliothèque à un autre développeur, right9ctrl.

Right9ctrl a téléchargé une nouvelle version de la bibliothèque presque dès que le contrôle a été transféré, la nouvelle version contenant le code malveillant ciblant les portefeuilles Copay.

Cependant, depuis ce temps, right9ctrl a téléchargé une autre nouvelle version de la bibliothèque – sans aucun code malveillant. Le nouveau téléchargement coïncide également avec la mise à jour par Copay de leurs packages de portefeuille mobile et de bureau pour supprimer l’utilisation des bibliothèques JavaScript ciblées par le code malveillant.

3. Amazon souffre de brèches de données avant le Black Friday

Quelques jours seulement avant le plus grand jour de shopping de l’année (à l’exception du China’s Single’s Day, bien sûr), Amazon a subi une violation de données.

“Nous vous contactons pour vous informer que notre site Web a divulgué par inadvertance votre nom et votre adresse e-mail en raison d’une erreur technique. Le problème a été corrigé. Ce n’est pas le résultat de quelque chose que vous avez fait, et vous n’avez pas besoin de changer votre mot de passe ou de prendre toute autre mesure. »

Il est difficile de mesurer les détails exacts de la violation car, eh bien, Amazon ne le dit pas. Cependant, les utilisateurs d’Amazon au Royaume-Uni, aux États-Unis, en Corée du Sud et aux Pays-Bas ont tous signalé avoir reçu un e-mail Amazon concernant la violation, il s’agissait donc d’un problème assez mondial.

En relation :  Le guide complet des paramètres de confidentialité de Windows 10

Les utilisateurs peuvent se consoler en ce sens qu’il s’agissait d’un problème technique d’Amazon conduisant à la violation de données, plutôt qu’à une attaque sur Amazon. La divulgation d’informations ne contient pas non plus d’informations bancaires.

Cependant, le message d’Amazon selon lequel les utilisateurs concernés n’ont pas besoin de modifier leur mot de passe est tout à fait faux. Si vous avez été affecté par la violation de données Amazon, modifiez le mot de passe de votre compte.

4. Vulnérabilités de Samsung et SSD à chiffrement automatique

Les chercheurs en sécurité ont découvert plusieurs vulnérabilités critiques dans Samsung et les SSD à chiffrement automatique Crucial. L’équipe de recherche a testé trois SSD Crucial et quatre SSD Samsung, découvrant des problèmes critiques avec chaque modèle testé.

Carlo Meijer et Bernard van Gastel, chercheurs en sécurité à l’Université Radboud aux Pays-Bas, vulnérabilités identifiées [PDF] dans l’implémentation de la sécurité ATA et de TCG Opal par les lecteurs, qui sont deux spécifications pour implémenter le chiffrement sur les SSD qui utilisent un chiffrement matériel.

vulnérabilités SSD à chiffrement automatique

Il existe une variété de problèmes:

  • L’absence de liaison cryptographique entre le mot de passe et la clé de chiffrement des données signifie qu’un attaquant peut déverrouiller des lecteurs en modifiant le processus de validation du mot de passe.
  • Le Crucial MX300 a un mot de passe principal défini par le fabricant – ce mot de passe est une chaîne vide, par exemple, il n’y en a pas.
  • Récupération des clés de chiffrement des données Samsung grâce à l’exploitation du niveau d’usure SSD.

De manière déconcertante, les chercheurs ont déclaré que ces vulnérabilités pourraient très bien s’appliquer à d’autres modèles ainsi qu’à différents fabricants de SSD.

Vous vous demandez comment protéger vos disques? Voici comment vous protégez vos données à l’aide de l’outil de cryptage open source, VeraCrypt.

5. La campagne de publicité malveillante d’Apple Pay cible les utilisateurs d’iPhone

Les utilisateurs d’iPhone sont la cible d’une campagne de malversation en cours impliquant Apple Pay.

La campagne tente de rediriger et d’arnaquer les utilisateurs de leurs informations d’identification Apple Pay à l’aide de deux fenêtres contextuelles de phishing, l’attaque provenant d’une série de journaux et de magazines premium lorsqu’elle est accessible via iOS.

Le malware, connu sous le nom de PayLeak, délivre les utilisateurs d’iPhone sans méfiance qui cliquent sur l’annonce malveillante vers un domaine enregistré en Chine.

Lorsque l’utilisateur arrive sur le domaine, le logiciel malveillant vérifie une série d’informations d’identification, y compris le mouvement de l’appareil, le type d’appareil (Android ou iPhone) et si le navigateur de l’appareil est Linux x86_64, Win32 ou MacIntel.

De plus, le logiciel malveillant vérifie sur l’appareil toute application antivirus ou antimalware.

apple pay faux mise à jour pop-up malware

Si les conditions correctes sont remplies, les utilisateurs d’Android sont redirigés vers un site de phishing qui prétend que l’utilisateur a gagné une carte-cadeau Amazon.

En relation :  Utilisez cette application Web géniale pour créer les meilleures vidéos sur YouTube

Cependant, les utilisateurs d’iPhone reçoivent deux fenêtres contextuelles. La première est une alerte indiquant que l’iPhone doit être mis à jour, tandis que la seconde informe l’utilisateur que son application Apple Pay doit également être mise à jour. La deuxième alerte partage les informations de la carte de crédit Apple Pay avec un serveur de commande et de contrôle à distance.

6. Un million de montres pour enfants vulnérables

Au moins un million de montres de suivi pour enfants compatibles GPS sont vendues à des parents remplis de vulnérabilités.

Les recherches de Pen Test Partners ont détaillé un litanie de problèmes de sécurité avec la montre de sécurité pour enfants MiSafe extrêmement populaire. Les montres compatibles GPS sont conçues pour permettre à un parent de suivre la position de son enfant à tout moment.

Cependant, les chercheurs en sécurité ont découvert que les numéros d’identification de l’appareil – et donc le compte d’utilisateur – étaient accessibles.

L’accès au compte a permis à l’équipe de sécurité de localiser l’enfant, d’afficher une photo de l’enfant, d’écouter les conversations entre l’enfant et ses parents, ou d’appeler à distance ou d’envoyer un message à l’enfant lui-même.

«Nos recherches ont été menées sur des montres de marque« Misafes kids watcher »et semblent concerner jusqu’à 30 000 montres. Cependant, nous avons découvert au moins 53 autres marques de montres pour enfants qui sont affectées par des problèmes de sécurité identiques ou quasi identiques. »

Les vulnérabilités des appareils intelligents destinés aux enfants ne sont pas un nouveau problème. Elle reste cependant préoccupante.

«Alors, comment achetez-vous des jouets intelligents sûrs pour vos enfants? Ce n’est pas le cas », explique Aaron Zander, ingénieur informatique chez Hacker One. “Mais si vous devez le faire, ne choisissez pas les options les moins chères et essayez de minimiser les capacités comme la vidéo, le Wi-Fi et le Bluetooth. De plus, si vous avez un appareil et qu’il a un défaut de sécurité, contactez vos représentants gouvernementaux, écrivez à vos organes de réglementation, faites-y une odeur, c’est le seul moyen de s’améliorer. “

Résumé des nouvelles de sécurité de novembre

Ce sont six des principales histoires de sécurité de novembre 2018. Mais il s’est passé beaucoup plus; nous n’avons tout simplement pas d’espace pour tout lister en détail. Voici cinq autres histoires de sécurité intéressantes qui ont surgi le mois dernier:

Un autre tourbillon d’actualités sur la cybersécurité. Le monde de la cybersécurité est en constante évolution et il est difficile de se tenir au courant des dernières violations, logiciels malveillants et problèmes de confidentialité.

C’est pourquoi nous rassemblons chaque mois les informations les plus importantes et les plus intéressantes pour vous.

Revenez au début du mois prochain – le début d’une nouvelle année, pas moins – pour votre rafle de sécurité de décembre 2018. Le mois prochain verra également l’année Moyens I/O 2018 en rafle de sécurité. En attendant, consultez ces cinq trucs et astuces pour sécuriser vos appareils intelligents.

Crédit d’image: Karlis Dambrans /Flickr

Moyens Staff
Moyens I/O Staff vous a motivé, donner des conseils sur la technologie, le développement personnel, le style de vie et des stratégies qui vous aider.