#piratage

tina@diaspora.psyco.fr

La "fuite" de données prend de l'ampleur.

En France, 750 000 données médicales et personnelles piratées et en vente.

Après la liste de Boulanger, Cultura, DiviaMobilités, Truffaut, Cybertek et Grosbill (font partie du même groupe), l’Assurance retraite, RED by SFR, Meilleurtaux, Ornikar, Free, Picard, Molotov, Auchan et le Point... ce sont maintenant les données médicales de Mediboard, qu'un pirate met en vente.

Les informations sont vastes : nom, prénom, date de naissance, sexe, adresse, ville, code postal, numéro(s) de téléphone, e-mail, mais aussi médecin traitant, ordonnances, déclaration de décès, identifiants externes et historique de santé.

#web #données #data #santé #piratage #hack

frenchhope@diaspora-fr.org
salinger3@diaspora-fr.org

le site Reflets autorisé à publier de nouveaux articles sur le groupe #altice , fondés sur des documents volés par des pirates informatiques

«On va pouvoir continuer à publier de manière à peu près sereine», s’est réjoui Antoine Champagne, le cofondateur de Reflets, qui était passé outre l’interdiction, non assortie de sanctions financières, avec notamment la parution de nouveaux articles en décembre, en collaboration avec les sites Blast et Streetpress. «Les manœuvres d’Altice […] pour contourner le droit de la presse ont échoué», s’est-il également félicité.

Le SNJ s’est lui réjoui «d’une nouvelle censure par les juges d’une deuxième tentative de censure et d’atteinte grave à la liberté d’expression», par la voix de son avocat, William Bourdon.

Il faisait allusion à une autre décision judiciaire rendue fin novembre et autorisant la publication par Mediapart d’une enquête sur le maire de Saint-Etienne (ex-LR), Gaël Perdriau, initialement interdite par une première ordonnance judiciaire.

Mais les «procédures baillons» se multiplient, a déploré Antoine Champagne. Et Altice «nous attaque toujours» sur plusieurs fronts, notamment au fond devant le tribunal de commerce. Contacté par l’AFP, le groupe Altice n’a pas souhaité réagir

https://www.liberation.fr/economie/medias/donnees-daltice-piratees-le-site-reflets-autorise-a-publier-de-nouveaux-articles-20230119_ZMCXNY52LBDENOT7FJLTUXDTUE/

#PatrickDrahi #reflets #ustice #liberté #information #journalisme #journaliste #secret #hive #piratage #presse

phil@diaspora-fr.org

#ransomware #lapostemobile #web #piratage #rgpd #cnil

https://twitter.com/gilbsgilbs/status/1547536671532634113?s=20&t=9XqklkdSubFCRxLcU-J7PA

(les données dérobées ont parallèlement été indexées par le service haveibeenpwned)

phil@diaspora-fr.org

#ransomware #lapostemobile #web #piratage

Piratage de lapostemobile

Après une demande d'information auprès d'une opératrice de la poste mobile, j'ai exigé une réponse par mail (quand important je réclame une confirmation). Je m'attendais à des mesures plus proactives.

######################################################################################################

Cher client,

Nous vous avons informé le vendredi 8 juillet que les services administratifs et de gestion de La Poste Mobile étaient victimes d’un virus malveillant de type rançongiciel.

Comme nous nous étions engagés à le faire, nous revenons vers vous pour vous tenir informés de l’avancement de nos investigations.

Nous avons d’abord protégé votre numéro de RIO (Relevé d’identité opérateur), ce qui signifie que personne ne peut utiliser votre ligne ou à la transférer vers un autre opérateur.

Nous avons également annulé, par sécurité, votre mot de passe à notre espace client. Il suffira de réinitialiser ce mot de passe lorsque notre espace client sera rétabli et que vous souhaiterez y accéder.

Notre enquête établit à ce stade que les données personnelles qui ont pu être copiées peuvent être les noms et prénoms, les adresses postales et électroniques, le numéro de téléphone. Aucune pièce d’identité n’a pu être copiée, mais les numéros de pièce d’identité peuvent être également concernés.

Nos analyses récentes établissent que les données de carte bancaire n’ont pas été copiées.

L’IBAN peut en revanche avoir été copié. Toutefois, nous vous rappelons qu’aucune personne morale ou physique ne peut prélever d’argent sur votre compte avec un IBAN s’il ne dispose de votre consentement formel pour cette opération.

Nous vous recommandons de prendre les mesures de sécurité suivantes :

N’utilisez pas le même mot de passe pour plusieurs sites internet ou services en ligne.

Par précaution, si vous avez utilisé votre mot de passe de compte client La Poste Mobile pour d’autres services, modifiez vos mots de passe

Ne communiquez jamais vos informations bancaires confidentielles tel que code secret et identifiants d’accès par courrier, email ou téléphone

Nous vous invitons de nouveau à être particulièrement vigilant, notamment en surveillant toute tentative de phishing et/ou d’usurpation d’identité, et en surveillant tout mouvement anormal sur votre compte bancaire.

Pour toute information supplémentaire concernant les données à caractère personnel et en lien avec cet évènement ou si vous avez un doute sur la véracité d’un courrier, d’un SMS ou d’un email qui vous aurait été transmis par La Poste Mobile, vous pouvez contacter le service client de La Poste Telecom au 0 805 305 205 et à l’adresse suivante : mesdonneespersonnelles@lapostemobile.fr

Nous vous prions de nous excuser pour toute gêne ou difficulté occasionnée par cette situation et restons à vos côtés pour vous accompagner.

La Poste Mobile

legeneralmidi@diaspora.psyco.fr

Des chercheurs en sécurité ont découvert CronRAT, un nouveau cheval de Troie d'accès à distance (RAT) furtif conçu pour attaquer les systèmes Linux
Se cachant sous la forme d'une tâche planifiée

Des chercheurs en sécurité ont découvert un nouveau #chevaldeTroie d'accès à distance (RAT) furtif, conçu pour attaquer les systèmes Linux. Baptisé CronRAT, ce malware cible actuellement les boutiques en ligne et permet aux attaquants de voler des données de cartes de crédit en déployant des #skimmers de paiement en ligne sur les serveurs Linux.

Les chercheurs de Sansec avertissent que CronRAT "permet le vol de données Magecart côté serveur en contournant les solutions de sécurité basées sur le navigateur". C'est un phénomène particulièrement préoccupant.

CronRAT est décrit comme "une menace sophistiquée, dotée de techniques furtives inédites", et Sansec affirme que son mode de fonctionnement signifie qu'elle ne sera pas reconnue par les autres sociétés de sécurité avant un certain temps.

L'entreprise explique : "Sansec a découvert que CronRAT était présent sur plusieurs magasins en ligne, dont le plus grand magasin du pays. En raison de son exécution inédite, nous avons dû réécrire une partie de notre algorithme eComscan afin de le détecter. CronRAT n'est actuellement pas détecté par les autres fournisseurs de sécurité".

La société de #sécurité poursuit :

"La principale prouesse de CronRAT est de se cacher dans le sous-système calendrier des serveurs Linux ("cron") un jour inexistant. De cette façon, il n'attire pas l'attention des administrateurs de #serveurs. Et de nombreux produits de sécurité n'analysent pas le système cron de Linux.
CronRAT facilite le contrôle persistant d'un serveur de #commerceélectronique. Sansec a étudié plusieurs cas où la présence de CronRAT a conduit à l'injection de skimmers de paiement (alias Magecart) dans le code côté serveur."

Le CronRAT ajoute un certain nombre de tâches à la crontab avec une curieuse spécification de date : 52 23 31 2 3. Ces lignes sont syntaxiquement valides, mais génèrent une erreur d'exécution lorsqu'elles sont exécutées. Cependant, cela ne se produira jamais car elles sont programmées pour être exécutées le 31 février. Au lieu de cela, le véritable code du malware est caché dans les noms des tâches et est construit en utilisant plusieurs couches de compression et de décodage base64.

La véritable charge utile de CronRAT est un "programme #Bash sophistiqué qui se caractérise par l'autodestruction, la modulation du temps et un protocole binaire personnalisé pour communiquer avec un serveur de contrôle étranger".

De plus, la connexion se fait sur #TCP via le port 443 en utilisant une fausse bannière pour le service SSH #Dropbear, ce qui permet également au malware de rester sous le radar.

Après avoir contacté le #serveur C2, le déguisement tombe, envoie et reçoit plusieurs commandes, et obtient une bibliothèque dynamique malveillante. À la fin de ces échanges, les attaquants derrière CronRAT peuvent exécuter n'importe quelle #commande sur le #système compromis.

#CronRAT a été trouvé sur plusieurs magasins à travers le monde, où il a été utilisé pour injecter sur le serveur des scripts qui volent les données des #cartesdePaiement - les attaques dites #Magecart.

#Sansec décrit le nouveau #malware comme "une menace sérieuse pour les serveurs de commerce électronique #Linux", en raison de ses capacités :

  • Exécution sans fichier
  • Modulation du temps
  • Sommes de contrôle anti-tampering
  • Contrôle via un protocole binaire et obscurci
  • Lancement d'un #RAT en tandem dans un sous-système Linux distinct.
  • Serveur de contrôle déguisé en service "Dropbear #SSH". -Charge utile cachée dans les noms de tâches programmées #CRON légitimes.

Toutes ces caractéristiques rendent CronRAT pratiquement indétectable. Sur le service d'analyse #VirusTotal, 12 moteurs #antivirus ont été incapables de traiter le fichier malveillant et 58 d'entre eux ne l'ont pas détecté comme une menace.

Source : Sansec

#virus #troyen #cybersécurité #piratage #hacking

salinger3@diaspora-fr.org

#Epik, l’hébergeur Web favori de l’extrême droite américaine, victime d’un piratage d’ampleur

L’entreprise héberge notamment le forum #8chan ou le réseau social pro- #Trump Parler : 180 gigaoctets de données, présentés comme volés sur ses serveurs, ont été mis en ligne.

https://www.lemonde.fr/pixels/article/2021/09/20/epik-l-hebergeur-web-favori-de-l-extreme-droite-americaine-victime-d-un-piratage-d-ampleur_6095330_4408996.html

#pirate #piratage #hébergeur #hébergement #vol #data #antifa