1,4 million de fichiers « patients » on fuité des système de la chaîne hospitalière US UnityPoint Health (source Dark Reading ).
5 nouvelles portes dérobées dans les équipements Cisco, nous apprend Tom’s Hardware . Encore des logins codés en dur, des comptes cachés… ce ne sont là que quelques oublis des procédures de debug, bien entendu.
Les grands magasins Saks Fifth Avenue et Lord & Taylor se sont fait dérober près de 5 millions d’identités bancaires, rapporte le NYT
4 ans fermes pour Ronald L. Wheeler III, le « modérateur/animateur/conseiller en ligne » du serveur AlphaBay, rapporte Security News . Une peine allégée en raison de la « collaboration » de l’inculpé avec les forces de police.
Dmytro Fedorov, Fedir Hladyr, et Andrii Kolpakov, trois ressortissant Ukrainiens arrêtés en Europe au cours du premier trimestre, ont été inculpés par la justice US pour avoir appartenu au groupe de cyberdélinquants Fin7. Ce groupe s’attaquait à de grandes chaînes de restauration, d’hôtels et de casinos et pillaient les identités bancaires des clients.
Encore un vol en formation de trous IoT. Ceux-ci nous sont gracieusement offerts par l’équipe Talos, qui a relevé la bagatelle d’une vingtaine de défauts de sécurité dans le hub d’IoTs de Samsung, dénommé SmartThings Hub. La saga, ainsi que l’interminable liste de CVEs qui l’accompagne, est à lire sur le blog de l’équipe de recherche
Encore quelques belles failles avec le groupe Jaguar-Land Rover cette f
ois. Car ces Britanniques véhicules, tous connectés qu’ils sont, peuvent enregistrer un volume considérable de données (coordonnées GPS, appels aux services de dépannage du réseau de concessionnaires, journal d’activité du système d’air conditionné et autres informations issues des ordinateurs de bord). Jusque-là , rien d’anormal. Lesdites données sont consultables à l’aide d’une appliquette de téléphone, mais sont également stockées sur un service Cloud, consultable à distance. Et c’est là que les choses se gâtent,
explique Matt Watts. En voulant utiliser ce service, il se rend compte que le précédent propriétaire de son automobile achetée d’occasion avait également accès à ses données privées.
Emois, lettre au constructeur, et réponse lapidaire d’ycelui : « We are not in a position to removeÂ
owner without their permission » (nous n’avons pas la possibilité de supprimer les données du propriétaire sans sa permission). Jaguar botte en touche à propos de cette fuite de données personnelles en se réfugiant derrière le respect des données à caractère personnel du précédent propriétaire. Probable Circular error, Abort, Ignore, Retry ? Seule solution proposée : contacter directement la personne en lui demandant de désactiver l’accès aux données.
C’est l’histoire totalement éculée d’un firmware de caméra associé à une « application » de surveillance à distance sous Android, elle-même incapable de différencier lesdites caméras les unes des autres. Rien de très nouveau, à un détail près : le bug a affecté une journaliste de la BBC, qui s’est émue de pouvoir, à son corps défendant, fliquer la vie privée de ses voisins. Il n’en fallait pas plus pour faire le Buzz.
Le problème a pu être analysé par un groupe de chercheurs, lequel a pu découvrir trois vulnérabilités majeures concernant l’identifiant des caméras, le système de chiffrement et le mot de passe root). Mais plus que ces failles relativement classiques, c’est le manque de réactivité du fabricant que fustigent les analystes sécurité.
Une marque Chinoise d’aspirateurs autonomes, affirme l’équipe de recherche de Positive Technologies est faillible soit à une attaque distante via le réseau local (à condition que l’authentification par défaut n’ait pas été modifiée), soit à une attaque nécessitant un « accès console » si l’on peut dire, attaque se limitant à l’insertion d’une carte SD dans cet appareil électro-ménager un peu trop intelligent.
« Comme tant d’autres IoT, continue le communiqué, ces robots peuvent être enrôlés dans une armée de zombies capables de lancer des attaques en déni de service distribué »… On imagine le tableau de ces hordes d’aspirateur, surveillant nos proches de leur œil cyclopéen, prêts à larguer des tonnes de poussières et détritus sur le tapis du salon. Les arts ménagers deviennent des arts martiaux.