IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

Sécurité Discussion :

Une compagnie de spyware expose des "téraoctets" de selfies, de messages texte et de données de position


Sujet :

Sécurité

  1. #1
    Chroniqueur Actualités

    Homme Profil pro
    Consultant informatique
    Inscrit en
    avril 2018
    Messages
    1 548
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Côte d'Ivoire

    Informations professionnelles :
    Activité : Consultant informatique
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : avril 2018
    Messages : 1 548
    Points : 35 895
    Points
    35 895
    Par défaut Une compagnie de spyware expose des "téraoctets" de selfies, de messages texte et de données de position
    Une société de spyware a exposé des « téraoctets » de données personnelles
    Y compris des selfies, des messages texte et des données de localisation

    Le Cloud, l'un des principaux moteurs de la transformation numérique, présente de nombreux avantages tels que la réduction des coûts de maintenance, la réduction de la consommation énergétique, la disposition rapide d'une plateforme prête à l'emploi, etc. Ces avantages cités, entre autres, permettent aux organisations de booster leur productivité à des coûts réduits. Cependant, plusieurs parmi celles qui ont adopté le Cloud ne disposent pas de son outil de sécurité de base.

    En juillet dernier, une société de cyber-résilience a révélé l’exposition de 157 Go de données de plus d'une centaine d'entreprises manufacturières sur un serveur public non sécurisé. Environ un mois après, un chercheur en sécurité a révélé une nouvelle vulnérabilité de plateforme Web.

    Nom : Spy02.jpg
Affichages : 6368
Taille : 37,8 Ko

    Selon le chercheur, une compagnie de distribution des logiciels espions pour téléphones cellulaires auprès des parents et des employeurs a laissé exposer des « téraoctets de données » personnelles dans un compartiment Amazon S3 (Simple Storage Service) mal protégé. Les données exposées sont composées des selfies, des messages texte, des enregistrements audio, des contacts, des données de localisation, des mots de passe et des identifiants hachés, des messages Facebook, entre autres, selon le chercheur.

    Le compartiment d’Amazon S3 non protégé, à travers lequel les données de milliers de clients ainsi que des informations sur des personnes sous surveillance ont été exposées, appartenait à Spyfone, une société spécialisée dans la distribution des applications conçues pour intercepter des messages texte, des appels, des e-mails et suivre l’emplacement d’un appareil surveillé.

    Au moins 2 208 clients actuels sont concernés et plusieurs téraoctets de « photos caméra non sécurisées » ont été exposées ainsi que « des centaines ou des milliers de photos et d’audio dans chaque dossier », a déclaré le chercheur. « Il y a actuellement 3 666 téléphones suivis. », a-t-il ajouté.

    Le chercheur a pu accéder à toutes ces données des clients et des personnes suivies par le biais des comptes administrateurs créés sans difficultés sur la plateforme de Spyfone dont la connexion aux services back-end ne nécessitait pas de mot de passe.

    Nom : Scr001.png
Affichages : 5837
Taille : 36,2 Ko

    Troy Hunt, administrateur de « have i been pwned », site Web de vérification de violation de comptes, après analyse des données reçues du chercheur, a découvert que 44 109 adresses électroniques uniques ont également été exposées.

    Une API du distributeur de logiciels espions était aussi laissée sans protection qui pourrait permettre à des pirates d’exploiter une liste régulièrement actualisée de noms et prénoms, adresses e-mail et IP. La liste comptait plus de 11 000 adresses e-mail uniques.

    Mercredi, Steve McBroom, un représentant de Spyfone, a confirmé la fuite de données « qui affectait environ 2 200 de nos clients », et déclaré que Spyfone a ouvert une enquête sur la fuite de données tout en exprimant son soulagement que la brèche ait été découverte par une personne de bonnes intentions.

    « Nous nous sommes associés à des sociétés de sécurité des données de premier plan pour nous aider dans notre enquête et nous continuons à nous concerter avec les autorités chargées de l'application de la loi à ce sujet. Chaque jour, notre équipe fait de grands progrès pour améliorer la sécurité de notre site et nous prévoyons certainement que cette récente violation de données est la dernière », a déclaré McBroom. « Des communications concernant la violation et l'enquête ont été envoyées à nos clients. », a-t-il ajouté.

    Source : Motherboard

    Et vous ?

    Qu’en pensez-vous ?
    Pourquoi les organisations laissent-elles exposer leurs données d’abord avant de penser à des mesures de sécurité ensuite ?

    Voir aussi

    Cybersécurité : 157 Go de données de plus d'une centaine d'entreprises manufacturières ont été exposées, sur un serveur public non sécurisé
    Timehop : un piratage expose les données d'environ 21 millions d'utilisateurs, mais les photos et messages des réseaux sociaux n'ont pas été affectés
    Une erreur de configuration sur un bucket Amazon S3 a exposé des infos de GoDaddy, le plus grand bureau d'enregistrement de noms de domaine du monde
    Les États-Unis ont connu la plus grosse fuite de données des électeurs jamais observée, à cause d'un service de stockage qui n'a pas été sécurisé
    Suède : L'agence des transports expose des données confidentielles du pays que son ministre qualifie de désastre, l'agence relativise son exploitation
    Contribuez au club : Corrections, suggestions, critiques, ... : Contactez le service news et Rédigez des actualités

  2. #2
    Membre extrêmement actif
    Avatar de Ryu2000
    Homme Profil pro
    Étudiant
    Inscrit en
    décembre 2008
    Messages
    8 384
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 33
    Localisation : France, Hérault (Languedoc Roussillon)

    Informations professionnelles :
    Activité : Étudiant

    Informations forums :
    Inscription : décembre 2008
    Messages : 8 384
    Points : 15 036
    Points
    15 036
    Par défaut
    Citation Envoyé par Stan Adkens Voir le message
    Pourquoi les organisations laissent-elles exposer leurs données d’abord avant de penser à des mesures de sécurité ensuite ?
    Au début tu ne te rends pas compte que la sécurité est importante.
    C'est compliqué, il faut trouver des gens qui s'y connaissent, et aussi bien il existera toujours des failles.

    Bon après utiliser un serveur public non sécurisé c'était peut être pas la meilleure idée, ils auraient pu faire un petit effort.
    Maintenant ils savent que c'est important, ils devraient éviter de reproduire l'erreur, on apprends plus de ses erreurs que de ses succès
    Keith Flint 1969 - 2019

  3. #3
    Membre habitué
    Homme Profil pro
    Étudiant
    Inscrit en
    janvier 2014
    Messages
    70
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France

    Informations professionnelles :
    Activité : Étudiant

    Informations forums :
    Inscription : janvier 2014
    Messages : 70
    Points : 178
    Points
    178
    Par défaut
    Si je résume bien :
    Une société spécialisée dans l'interception des données stocke ses informations sur un serveur amazon et laisse un accès car :
    Le chercheur a pu accéder à toutes ces données des clients et des personnes suivies par le biais des comptes administrateurs créés sans difficultés sur la plateforme de Spyfone dont la connexion aux services back-end ne nécessitait pas de mot de passe.
    Donc, soit le chercheur invente des trucs pour se faire mousser, soit cette entreprise fait preuve d'une rare incompétence, ce qui est étrange pour une compagnie qui œuvre dans la sécurité.
    Je suis encore étudiant donc je vais hasarder une hypothèse : C'est une blague ? Des entreprises dans la sécurité ont le droit d'être aussi incompétente et de mettre en danger la vie de milliers de gens (voir plus) ?
    Nous serons en danger le jour où les machines seront capable de glander.

  4. #4
    Membre éprouvé
    Homme Profil pro
    Informaticien
    Inscrit en
    avril 2011
    Messages
    324
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Finistère (Bretagne)

    Informations professionnelles :
    Activité : Informaticien

    Informations forums :
    Inscription : avril 2011
    Messages : 324
    Points : 1 287
    Points
    1 287
    Par défaut
    Citation Envoyé par Mc geek Voir le message
    Si je résume bien :
    Une société spécialisée dans l'interception des données stocke ses informations sur un serveur amazon et laisse un accès car :

    Donc, soit le chercheur invente des trucs pour se faire mousser, soit cette entreprise fait preuve d'une rare incompétence, ce qui est étrange pour une compagnie qui œuvre dans la sécurité.
    Je suis encore étudiant donc je vais hasarder une hypothèse : C'est une blague ? Des entreprises dans la sécurité ont le droit d'être aussi incompétente et de mettre en danger la vie de milliers de gens (voir plus) ?
    Ça semble être une société spécialisée dans la distribution et l'exploitation d'outils d'espionnage de contrôle parental avancé sur smartphone. Il faut juste avoir accès au téléphone pour installer cet outil et donner tous les droits nécessaires ensuite sur les données.

    A mon sens, rien à voir avec une entreprise de sécurité car à aucun moment il n'est question de traiter cette problématique sur l'appareil où est installé l'application. C'est juste une entreprise lambda qui collecte et stocke des données personnelles avec légèreté (et je suis poli).

  5. #5
    Membre actif Avatar de alexetgus
    Homme Profil pro
    Webmaster
    Inscrit en
    novembre 2014
    Messages
    122
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 49
    Localisation : France, Bouches du Rhône (Provence Alpes Côte d'Azur)

    Informations professionnelles :
    Activité : Webmaster

    Informations forums :
    Inscription : novembre 2014
    Messages : 122
    Points : 280
    Points
    280
    Par défaut Enquête ???
    Ils ont besoin d'enquêter avec des "acteurs de premier plan" ?
    Ils sont vraiment idiots ou je rêve ?!

    Les résultats de l'enquête sont simples, c'est des inconscients faisant preuve d'une négligence et d'une incompétence à toutes épreuves.
    Ils devraient se recycler dans la commercialisation de Tatoo, il y a moins de risques. Et encore, avec une bande comme celle là, c'est pas certain qu'ils ne créent pas des risques qui n'existaient pas jusqu'ici...

    (J'ai mis le lien vers Tatoo pour les plus jeunes)

Discussions similaires

  1. Réponses: 0
    Dernier message: 13/08/2015, 16h57

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo