Des comptes Mixcloud volés sont en vente sur le dark web. Le service semble ignorer qu’ils avaient été piratés.

Si vous êtes un utilisateur de Mixcloud, vous avez de sérieuses raisons de vous inquiéter pour vos données personnelles. La plate-forme de streaming et de partage de mixes aurait été victime d’un piratage en novembre passé. les hackeurs auraient emporté plus de 20 millions de comptes utilisateurs à l’insu du service.

Ces comptes volés, sont actuellement en vente pour 4000 dollars ou 0,5 bitcoin par un revendeur de données volées sur le dark web. Selon Techcrunch qui a pu enter en contact avec celui-ci, ces données seraient authentiques et pourraient atteindre plus de 22 millions bien que le revendeur ne parle que de 20 millions sur le dark web.

L’ensemble des données est hashé par Mixcloud avec l’algorithme SH-2 (pour la rendre illisible) et comprendrait des informations comme les noms, les adresses e-mail ou les adresses IP des utilisateurs… Comme Techcrunch, Motherboard a reçu un échantillon de 1 000 comptes Mixcloud du revendeur portant le pseudonyme A_W_S et, a également confirmé que les données étaient authentiques après avoir essayé sans succès de créer de nouveaux comptes sur mixcloud avec les e-mails contenus dans les fichiers en vente.

Mat Clayton, l’un des co-fondateurs de Mixcloud a confié à Motherboard qu’ils ont « reçu ce soir des rapports crédibles selon lesquels des pirates ont cherché et obtenu un accès non autorisé à certains de » leurss systèmes , mais que « la majorité des utilisateurs de Mixcloud se sont inscrits via l’authentification Facebook, où par défaut aucun mot de passe n’est stocké. Mixcloud ne stocke pas de données telles que les numéros de carte de crédit ou les adresses postales complètes ». Il a par ailleurs ajouté qu’ils enquêtaient sur l’incident.

Pour ceux qui ont créé un compte sur la plate-forme sans passer par l’intermédiaire de Facebook, il est recommandé de réinitialiser vos mots de passe.

Source : Techcrunch Motherboard

Les coordonnées des clients de l’entreprise ont été volées par le biais de son site internet. Cette fois-ci, la situation semble moins grave que la fois précédente.

OnePlus et les hackers, c’est l’amour fou. Après s’être fait pirater en 2018, la marque vient de révéler qu’elle y a goûté une seconde fois, mais, à une échelle moins importante. En effet, selon le communiqué partagé par l’entreprise ce vendredi, une faille sur son site internet a permis à un intrus d’accéder à des informations de commandes de certains de ses clients. Alors que les informations de paiement et les mots de passe ont été épargnés, les noms, les numéros de téléphone, e-mails et les adresses de livraison n’ont pas eu cette chance.

Le constructeur chinois assure avoir pris les dispositions nécessaires pour « arrêter l’intrus et renforcer la sécurité » de son site pour que des situations similaires ne se reproduisent plus. Quant aux utilisateurs touchés, ils ont été avertis par mail.

Quelles conséquences pour les clients ?

Si vous faites vos achats directement sur le site de OnePlus et vous n’avez pas reçu de mails de la part de la marque, cela sous-entend « que les renseignements relatifs à votre commande sont en sécurité. » Mais, si malheureusement vous êtes dans ce lot, il est possible que vous receviez des spams ou des mails d’hameçonnage.

Les zones d’ombres

Bien que tout ça semble un peu rassurant, il y a des points que OnePlus n’aborde pas qui nous poussent à remettre en question la véracité de tout ce qu’ils affirment. En 2018 par exemple, malgré que pas moins de 40 000 clients aient été compromis, la marque n’a pas hésité à communiquer le nombre. Bizarrement cette fois-ci, elle minimise tout en se gardant de donner le nombre de personnes touché. Plus choquants encore, ils se gardent de nous dire comment il y a été possible que les informations comme les noms et les numéros de téléphone soient compromis et que les informations de paiement ne le soient pas.

De toute façon, il est clair qu’on n’aura peut-être jamais ces réponses. Mais, OnePlus semble déterminer à mieux se protéger contre de futures attaques. Pour y arriver, le mois prochain, ils vont collaborer avec une plateforme de sécurité de renommée mondiale (on n’a de nom) et lancer une prime aux bogues d’ici la fin du mois de décembre.

Source: OnePlus

Ces deux anciens employés auraient profité de leur accès aux systèmes de la plateforme de microblogging pour recueillir et transmettre aux autorités de Ryad, des informations personnelles permettant d’identifier les dissidents critiques envers leurs actions. Il s’agit notamment des adresses IP, des emails, des noms et des numéros de téléphone de ces utilisateurs.

Un nouveau logiciel malveillant détecté par Kaspersky, permet à des hackers de suivre le trafic sécurisé dans Chrome et Firefox très habilement. Cette menace à ne pas prendre à la légère, est toujours en active.

Découverte par Kaspersky en avril dernier et toujours en cours, cette attaque menée par des hackers russes relève d’une grande ingéniosité. En effet, afin de saper comment nos navigateurs mettent en place les connexions sécurisées “https”, ceux-ci infectent leurs victimes avec un cheval de Troie nommée « Reductor ». Une fois celui-ci en place, il leur donne un accès distant à la machine de la victime leur permettant de compromettre le trafic internet sécurisé en enchaînant deux étapes.

La technique utilisée est inédite

D’abord, le Reductor va greffer ses propres certificats numériques sur la machine infectée. Ce qui va permettre aux pirates de repérer la machine afin d’y ajouter des certificats complémentaires à distance. Ensuite, la partie la plus subtile qui consiste à marquer le trafic TLS sans y toucher, s’opère en modifiant l’installation locale de Chrome ou de Firefox (ou tout autre navigateur internet) de façon à patcher leurs fonctions de génération de nombres pseudo-aléatoire (PRNG) dans la mémoire du processus.

Le PRNG permet aux navigateurs de générer « côté client » des nombres aléatoires nécessaires au début du processus d’échange TLS pour l’établissement de chaque nouvelle connexion sécurisée https. Ces fonctions PRNG modifiées portent une empreinte numérique unique permettant aux hackers de suivre le trafic de chaque victime.

Quel est l’intérêt de procéder à un tel marquage ?

Pour le moment, Kaspersky n’a trouvé aucune raison valable pour justifier le marquage du trafic TLS. En effet, le cheval de Troie installé au début du piratage suffit à lui seul pour permettre aux attaqueurs de prendre le contrôle total de la machine des victimes et de regarder leur trafic internet en temps réel.

Même s’ils n’ont pas pu expliquer l’intérêt du marquage, les chercheurs de Kaspersky n’ont pas manqué faire la lumière sur la technique utilisée par les hackers pour infecter les victimes avec le cheval de Troie « Reductor ». En effet, pendant le téléchargement de logiciels populaires comme IDM ou Winrar… (sur des sites sécurisés https), les pirates infectent les fichiers pendant qu’ils sont en transit sur internet. Plus simplement, les fichiers sains téléchargés au début sont substitués par des fichiers infectés au Reductor pendant le téléchargement.

Cela soulève également une autre question : comment les hackers arrivent-ils à remplacer les fichiers pendant le transit sur internet ? Pour l’éditeur de solutions antivirus, il est vraisemblable que les pirates aient compromis des fournisseurs d’accès internet. Ce qui leur permet de suivre facilement le trafic internet pour y injecter leurs fichiers vérolés.

Une attaque menée par un groupe de hackers proche du gouvernement russe

Kaspersky attribue cette attaque inédite débutée en Russie et en Biélorussie à Turla, un groupe de hackers qui serait protégé par le gouvernement russe. Ce groupe qui compte parmi l’élite des hackers avait déjà mené plusieurs campagnes de piratage très spectaculaires, dont le piratage de plusieurs FAI en Europe de l’Est.

Source: KASPERSKY

Une nouvelle faille dans l’application de messagerie instantanée permet d’accéder à vos photos en utilisant un GIF.

Selon les détails partagés par le chercheur en sécurité Awakened sur son blog, il suffit que vous ayez reçu un fichier GIF infecté de l’un de vos contacts Whatsapp ou par tout autre canal, pour que cette faille soit exploitable sur votre téléphone. En effet, dès que vous recevez le fichier, le virus attend patiemment jusqu’à ce que vous décidiez d’envoyer un fichier multimédia à l’un de vos contacts pour se déclencher. Aussitôt que vous appuyez sur le bouton trombone qui permet d’accéder à la galerie Whatsapp, le virus s’active de lui-même et envoie vos photos à l’attaqueur sans aucune autre interaction de votre part.

Une faille limitée à Android et à ses versions récentes

Néanmoins, cette faille ne concerne qu’Android et certaines versions n’ont rien à craindre. D’après le chercheur, sur les moutures d’Android les plus récentes comme Android 8.1 et 9.0, la faille fonctionne bien mais, sur les versions en dessous de 8.0, l’opération échoue parce que l’application se plante.

Un correctif existe déjà dans les mises à jour récentes de Whatsapp

Facebook n’a pas manqué de déployer un correctif pour cette faille dès que le chercheur leur en a fait part. Si vous utilisez la version 2.19.230 de WhatsApp, veuillez prendre soin de mettre votre application à jour vers la version 2.19.244 ou la dernière version disponible dans le Google Play Store afin de mettre vos fichiers à l’abri de cette faille.

Source: Awakened

Une nouvelle faille trouvée par le chercheur axi0mX rendrait les iPhone 4S à iPhone X vulnérable et Apple ne pourra rien y faire même s’il en a envie.

Ces dernières années, le phénomène de jailbreak a beaucoup baissé grâce à des mises à jour qui bouchaient les failles aussitôt qu’elles étaient trouvées. Mais, cette fois-ci, il semble que l’histoire s’écrira d’une autre façon. En effet, le chercheur axi0mX vient d’annoncer sur Twitter la publication d’un exploit sur Github qui, contrairement aux autres, pourrait permettre de jailbreaker (débrider) les iPhone et iPad touchés de façon permanente.

Cet exploit nommé checkm8 (à lire checkmate qui veut dire « échec et mat ») toucherait les iPhone 4S à l’iPhone X et se situerait dans le bootrom qui est stocké dans la mémoire morte. La mémoire morte étant une mémoire en lecture seulement (read only), il est donc impossible pour Apple d’y apporter des modifications grâce à une mise à jour.

Des raisons de paniquer pour votre iPhone ?

Checkm8 n’est pas encore un jailbreak complet avec cydia. Seuls peuvent le manipuler dans son état actuel, les chercheurs et les développeurs. Mieux, la faille ne peut être exploitée à distance par un hacker. Ce qui implique qu’il faudra qu’on ait un accès physique à votre téléphone avant de pouvoir l’utiliser pour en prendre le contrôle.

Cependant, ce qui rend cette faille encore plus intéressante, c’est qu’elle prouve une fois de plus que le jailbreak n’est pas mort et qu’il a encore de longues années devant lui.

Source: Twitter