La cybersécurité aujourd’hui, 10 mai 2021 – La date limite approche pour la pétition Women In Cyber ​​Day, le vol de données sur les sites Web de devis d’assurance et les conseils de la principale cyberagence au Canada | La cybersécurité des entreprises informatiques aujourd’hui, 10 mai 2021

La date limite approche pour la pétition Women in Cyber ​​Day, le vol de données sur les sites Web de devis d’assurance et les conseils de la principale cyberagence au Canada

Bienvenue dans Cyber ​​Security Today. Nous sommes le lundi 10 mai. Je suis Howard Solomon, journaliste contributeur sur la cybersécurité pour ITWorldCanada.com.

Attention auditeurs canadiens: Vous n’avez plus qu’un jour pour signer électroniquement une pétition demandant au gouvernement du Canada de déclarer le 1er septembre la Journée internationale des femmes dans la cybercriminalité. Cela reconnaîtrait les réalisations des femmes dans l’industrie et favoriserait le maintien des femmes dans cette main-d’œuvre. La pétition demande également au gouvernement de soutenir les programmes de sensibilisation et d’élimination des obstacles pour les femmes et les groupes marginalisés qui souhaitent entrer et rester dans la profession. Il y a un lien vers la pétition ici. Ou vous pouvez aller sur le site Web de la Chambre des communes et regarder sous Pétitions. C’est le numéro e-3092. Ou allez sur womencybersecurity.org. La date limite pour signer la pétition est demain, le mardi 11 mai à 14 h, heure de l’Est.

Attention aux développeurs de logiciels: si vous utilisez le gestionnaire de packages de langage PHP Composer, assurez-vous que vous exécutez la dernière version. Il ferme une vulnérabilité majeure.

Attention aux administrateurs WordPress: si vous exécutez le plugin antispam CleanTalk, assurez-vous que vous disposez de la dernière version. Il ferme une vulnérabilité majeure.

À l’attention des utilisateurs du lecteur Foxit PDF. Assurez-vous que vous disposez de la dernière version. Les correctifs de sécurité corrigent de graves vulnérabilités,

J’ai déjà parlé d’attaques de tiers ou de chaînes d’approvisionnement, où une organisation est victime d’une attaque Internet via un partenaire ou un fournisseur. Voici les derniers exemples, qui impliquent tous deux des compagnies d’assurance américaines – et qui sont tous deux très similaires: les pirates ont obtenu cette année des informations personnelles sur des personnes détenues par un fournisseur de services tiers en passant par les services de devis en ligne des compagnies d’assurance. Cela a fonctionné comme ceci: l’attaquant demande en ligne une soumission d’assurance en utilisant les noms et d’autres informations de personnes qu’il a déjà compilées – probablement par le biais de vols de données. Les compagnies d’assurance ont un lien automatique avec un fournisseur de services qui remplit les informations de la demande en ligne, telles que le permis de conduire du demandeur ou la date de naissance. Ensuite, l’attaquant copie ces informations ajoutées, qu’il ne possédait pas déjà. Avec des informations telles que le nom, l’adresse et le numéro de permis de conduire, l’attaquant pourrait demander des allocations de chômage de l’État ou créer une pièce d’identité frauduleuse. Une compagnie d’assurance avise plus de 280 000 victimes. Un autre avise plus de 97 000 personnes.

Si votre organisation propose des devis gratuits et utilise un tiers pour l’aider à remplir une application, assurez-vous qu’elle n’est pas ouverte aux attaques de vol de données comme celle-ci.

Fermilab est un laboratoire de physique avancé et un accélérateur près de Chicago qui fait des choses comme briser des particules ensemble pour voir de quoi est faite la matière. Mais selon un groupe de chercheurs, sa cybersécurité n’est pas très avancée. En faisant des recherches sur Internet, ils ont pu trouver des serveurs ouverts avec des noms, des mots de passe d’utilisateurs, des descriptions de projets et des pièces jointes contenant des informations scientifiques sensibles. L’un des chercheurs a déclaré à un site d’information que Fermilab avait résolu les problèmes rapidement après avoir été informé. Personne ne sait si un État-nation ou des criminels ont également pu voir les données.

Pour terminer, J’ai couvert une conférence sur la cybersécurité en ligne depuis Vancouver la semaine dernière. L’un des conférenciers était Scott Jones, le chef du gouvernement du Centre de cybersécurité du Canada. Il avait deux ou trois choses à dire qui méritaient d’être soulignées. L’un était destiné au grand public: vous avez beaucoup de contrôle sur les données personnelles que vous communiquez aux sites Web et aux plateformes de médias sociaux. Vous n’avez pas à tout dire à un site Web lorsque vous vous inscrivez. Ce site a-t-il vraiment besoin de votre anniversaire? Tirez-vous parti des sites Web de contrôle de la confidentialité et des plateformes de médias sociaux? Son argument était que moins vous donnez d’informations personnelles, moins les escrocs pourront voler.

En ce qui concerne les organisations, Jones avait ceci à dire: pensez à chaque élément d’information personnelle que vous collectez auprès de clients ou de clients. En avez-vous vraiment besoin? Si tel est le cas, en avez-vous suffisamment besoin pour prendre la responsabilité de protéger pleinement les données contre le vol?

C’est tout pour le moment. N’oubliez pas que les liens vers des détails sur les histoires de balados se trouvent dans la version texte de ce balado sur ITWorldCanada.com. C’est là que vous trouverez également d’autres histoires à moi.

Suivez Cyber ​​Security Today sur Apple Podcasts, Google Podcasts ou ajoutez-nous à votre Flash Briefing sur votre haut-parleur intelligent.