LAPSUS$ revendique 7 244 dossiers à l’IUT info de Lille : phishing ciblé, usurpation et risque RGPD élevé....

Proximus détecte une consultation non autorisée de contacts clients via un partenaire, plainte au parquet fédéral, risque accru de fraude....

Cyberattaque CodeRED : alertes d’urgence stoppées dans plus de dix États, fuite de mots de passe et bascule vers IPAWS....

Australie : Michael Clapsis condamné pour attaques Wi-Fi “jumeau malveillant” en aéroports et en vol, et vol de données....

Freedom Mobile confirme une fuite via un compte sous-traitant, données d’identité exposées, risque accru de phishing fin 2025....

ShinyHunters menace de divulguer des clients premium de Pornhub et réclame une rançon en bitcoin, sur fond d’incident Mixpanel....

Fuite géante chez Coupang : 33,7 millions de comptes exposés et le modèle sud-coréen de protection des données sous pression....

Rançongiciel chez Poltronesofà : fuite de données anciennes, risques de fraude et interrogations sur la conservation des informations clients à l’ère du RGPD....

Un pirate vise fédérations sportives, assureur et site éducatif, révélant de graves failles de cybersécurité dans l’écosystème français....

Fuite bpost : 30,46 Go de données structurées publiées par les nouveaux pirates du groupe Tridentlocker via un fournisseur....

Enquête des moteurs de look up pirates qui industrialisent l’exploitation des fuites de données françaises....

Après MédecinDirect, Leroy Merlin et les missions locales, le groupe Schmidt révèle une fuite de données clients qui nourrit l’inquiétude sur la sécurité des Français en ligne....

FFF et FFHandball victimes de fuites de données licenciés, révélant la vulnérabilité cyber croissante des logiciels de gestion du sport français....

Intrusion chez MédecinDirect : jusqu’à 300 000 utilisateurs concernés par une fuite de données, entre éléments médicaux exposés et questions sur la sécurité de l’e-santé....

Qilin revendique le piratage de la Scientologie et d’entreprises, exposant données internes, sécurité d’événements et enjeux d’extorsion sur fond de renseignement....

Bon, j’étais un petit peu occupé aujourd’hui parce que c’est mercredi et c’est le jour des enfants, mais je ne pouvais pas finir ma journée sans vous parler de cette histoire incroyable.

Si vous faites partie des gens qui utilisent des sites comme JSONFormatter ou CodeBeautify pour rendre votre JSON lisible ou reformater du code, et bien figurez-vous que des chercheurs en sécu viennent de découvrir que ces outils ont laissé fuiter des tonnes de données sensibles durant des années. Et quand je dis tonnes, c’est pas une figure de style puisque ce sont plus de 80 000 extraits de code contenant des credentials en clair qui ont fuité, soit plus de 5 Go de données.

En effet, les chercheurs de WatchTowr ont découvert que la fonction “Recent Links” de ces plateformes permettait d’accéder à tous les bouts de code collés par les utilisateurs. Les URLs suivaient un format prévisible, ce qui rendait le scraping automatique hyper fastoche pour n’importe qui, et c’est comme ça qu’on a découvert que JSONFormatter a exposé durant 5 ans de données les données de ses utilisateurs. Et du côté de CodeBeautify, ça a duré 1 an.

Les chercheurs ont mis la main sur des identifiants Active Directory, des identifiants de bases de données et services cloud, des clés privées de chiffrement, des tokens d’accès à des repos Git, des secrets de pipelines CI/CD, des clés de passerelles de paiement, des tokens API en pagaille, des enregistrements de sessions SSH, et même des données personnelles de type KYC. Bref, le jackpot pour un attaquant, quoi.

Et côté victimes, c’est un festival puisqu’on y retrouve des agences gouvernementales, des banques, des assurances, des boîtes d’aéronautique, des hôpitaux, des universités, des opérateurs télécom… et même une entreprise de cybersécurité. On a même retrouvé les credentials AWS d’une bourse internationale utilisés pour leur système Splunk, ainsi que des identifiants bancaires provenant de communications d’onboarding d’un MSSP (Managed Security Service Provider). C’est cocasse comme dirait Macron.

Et pour prouver que le problème était bien réel et exploitable, les chercheurs de WatchTowr ont utilisé un service appelé Canarytokens dont je vous ai déjà parlé. Ils ont implanté de faux identifiants AWS sur les plateformes et ont attendu de voir si quelqu’un y accédait…

Résultat, quelqu’un a tenté de les utiliser 48 heures après que les liens étaient censés avoir expiré, et 24 heures après leur suppression supposée. Les données restaient donc accessibles bien au-delà de ce que les utilisateurs pouvaient imaginer.

Et le pire dans tout ça c’est qu’au moment de la publication des articles, les liens “Recent Links” étaient toujours accessibles publiquement sur les deux plateformes. Bref, aucune correction n’a été déployée.

Donc, voilà, si vous avez utilisé ces outils par le passé et que vous y avez collé du code contenant des identifiants et autres clés API (même par inadvertance), c’est le moment de faire une petite rotation de vos secrets.

Et même si c’est une évidence, de manière générale, évitez de balancer du code sensible sur des outils en ligne dont vous ne maîtrisez pas la politique de conservation des données.

Source

Illuminate Education paie 5,1 millions $ après une violation de données massives ayant exposé les informations personnelles de millions d’élèves....

La fuite de données du ministère britannique de la Défense a exposé des réfugiés afghans à de graves menaces physiques et psychologiques....

Akira revendique une attaque contre Apache OpenOffice et menace de publier 23 Go de données internes de la Fondation Apache....

New York inflige 14,2 millions $ d’amendes à huit assureurs pour graves failles de cybersécurité exposant plus de 825 000 clients....