Plus tôt cette semaine, T-Mobile a confirmé une violation de données qui affecte au moins 48 millions de personnes, un nombre qui pourrait encore augmenter alors que la société poursuit son enquête. L’ensemble de données contient des informations particulièrement sensibles telles que les numéros de sécurité sociale, les détails du permis de conduire et, semble-t-il, même les numéros IMEI uniques associés à chaque smartphone. Non seulement cela, mais la grande majorité des victimes de la brèche jusqu’à présent ne sont même pas des clients de T-Mobile ; il s’agit plutôt d’anciens clients ou d’éventuels clients qui, à un moment donné, ont demandé un crédit auprès du transporteur. Un recours collectif a déjà été déposé bien que la clause d’arbitrage dans les accords clients de T-Mobile puisse être un obstacle sur la voie de la restitution.
Nous avons également examiné une vulnérabilité inquiétante dans ThroughTek Kalay, un kit de développement de logiciels pour une plate-forme qui alimente des dizaines de millions d’appareils vidéo de l’Internet des objets. Cela signifie des moniteurs pour bébé, des caméras de sécurité, etc. Les chercheurs ont montré comment les attaquants pouvaient utiliser les failles pour regarder des flux vidéo en temps réel ou les fermer avec des attaques par déni de service. ThroughTek a envoyé une mise à jour en 2018 qui fournissait des moyens d’atténuer l’attaque, mais pas d’instructions claires sur la façon ou la raison pour laquelle les clients devraient les mettre en œuvre.
De même, Google a apporté certaines modifications à Workspace, la suite de logiciels de productivité basés sur le cloud anciennement connue sous le nom de G Suite, après qu’un ver Google Docs en 2017 a montré à quel point la plate-forme était vulnérable aux escrocs. Mais un chercheur en sécurité a démontré qu’il est encore très possible pour un pirate informatique dédié d’abuser du système.
Des dizaines de groupes de défense des droits civiques s’insurgent contre le système controversé d’Apple qui utiliserait en partie les iPhones des gens pour aider à trouver du matériel d’abus sexuel d’enfants. La Chine a longtemps été une puissance de propagande et a récemment tourné son attention vers la BBC, attaquant diverses lignes de reportages qui vont à l’encontre des intérêts du pays. Et nous avons créé un guide rapide sur la façon d’envoyer des messages qui disparaissent dans les applications de chat les plus populaires.
Et il y a plus ! Chaque semaine, nous rassemblons toutes les nouvelles de sécurité que WIRED n’a pas couvertes en profondeur. Cliquez sur les titres pour lire les histoires complètes et restez en sécurité.
Ce fut un gros mois pour le vol de crypto-monnaie ! La semaine dernière, c’était Poly Network, qui a vu un pirate informatique s’enfuir avec plus de 610 millions de dollars en diverses pièces numériques avant de finalement en restituer la majeure partie. Maintenant, c’est apparemment au tour de Liquid. L’échange de crypto-monnaie japonais a déclaré cette semaine que ses portefeuilles “chauds” – ceux connectés à Internet, par rapport aux portefeuilles “froids”, qui ne le sont pas – ont été compromis lors d’un piratage qui a généré environ 97 millions de dollars de bitcoin, d’ethereum et d’autres pièces. étant volé. Liquid a déclaré avoir déplacé certains actifs dans des portefeuilles froids en réponse, mais le mal avait été fait.
Elliot Carter exploite un site appelé WashingtonTunnels.com, qui porte vraiment son nom. Le “DC Underground Atlas” offre un aperçu détaillé des passages souterrains de la capitale américaine. Comme vous pouvez l’imaginer, cela attire généralement un flux constant de passionnés plutôt que de voir de gros pics de trafic. C’est-à-dire jusqu’à quelques jours avant que des émeutiers ne prennent d’assaut le bâtiment du Capitole des États-Unis. À cette époque, a déclaré Carter à l’affilié NBC de la région de DC, il a vu une augmentation du nombre de visiteurs de tout le pays, dont beaucoup provenant de « babillards électroniques, sites et forums anonymes portant le nom de milices ou d’armes à feu, ou utilisant le nom de Donald Trump ». Méfiant! Carter a signalé l’activité au FBI, et quelques jours plus tard, cela s’est produit.
La mauvaise nouvelle est que des pirates informatiques ont compromis le US Census Bureau en janvier 2020, d’une manière évitable et probablement un peu embarrassante. La bonne nouvelle, ou du moins la moins mauvaise, est que ces pirates n’ont pas été loin des résultats réels du recensement. Mais ils ont eu accès aux serveurs grâce à une vulnérabilité que la société de logiciels Citrix avait révélée quelques semaines auparavant, le lendemain de la publication d’une preuve de concept pour un exploit de cette faille sur GitHub. Selon un calendrier fourni par le Bureau de l’inspecteur général, le pare-feu du Census Bureau a empêché les attaquants de communiquer avec leur serveur de commandement et de contrôle après quelques jours, mais il a fallu des semaines à l’agence pour atténuer complètement les intrusions.
Apple adopte une ligne notoirement dure contre les fuites, déployant une équipe d’enquêteurs pour minimiser la divulgation de secrets d’entreprise et minimiser les retombées. Ils ont également apparemment recruté au moins un membre de la communauté qui commercialise des documents et du matériel Apple illicites, selon un nouveau rapport de Motherboard. L’informateur dit qu’il a tendu la main à Apple, plutôt que l’inverse, mais qu’il a finalement détérioré leur relation. Cela vaut la peine d’être lu pour avoir un aperçu à la fois de l’équipe anti-fuite d’Apple et des personnes qu’ils essaient de traquer.
Plus de belles histoires WIRED
.
:quality(70)/cloudfront-us-east-1.images.arcpublishing.com/elfinanciero/TSB4NNQURRG4JMVJ7GU63VZUVU.jpg)
