Fuite géante chez Coupang : 33,7 millions de comptes exposés et le modèle sud-coréen de protection des données sous pression....

Rançongiciel chez Poltronesofà : fuite de données anciennes, risques de fraude et interrogations sur la conservation des informations clients à l’ère du RGPD....

Un pirate vise fédérations sportives, assureur et site éducatif, révélant de graves failles de cybersécurité dans l’écosystème français....

Fuite bpost : 30,46 Go de données structurées publiées par les nouveaux pirates du groupe Tridentlocker via un fournisseur....

Enquête des moteurs de look up pirates qui industrialisent l’exploitation des fuites de données françaises....

Après MédecinDirect, Leroy Merlin et les missions locales, le groupe Schmidt révèle une fuite de données clients qui nourrit l’inquiétude sur la sécurité des Français en ligne....

FFF et FFHandball victimes de fuites de données licenciés, révélant la vulnérabilité cyber croissante des logiciels de gestion du sport français....

Intrusion chez MédecinDirect : jusqu’à 300 000 utilisateurs concernés par une fuite de données, entre éléments médicaux exposés et questions sur la sécurité de l’e-santé....

Qilin revendique le piratage de la Scientologie et d’entreprises, exposant données internes, sécurité d’événements et enjeux d’extorsion sur fond de renseignement....

L'enseigne française d'aménagement, de décoration et de bricolage confirme avoir été victime d'une cyberattaque visant les données de ses clients. Voici ce qu'il faut savoir pour vous protéger.

Bon, j’étais un petit peu occupé aujourd’hui parce que c’est mercredi et c’est le jour des enfants, mais je ne pouvais pas finir ma journée sans vous parler de cette histoire incroyable.

Si vous faites partie des gens qui utilisent des sites comme JSONFormatter ou CodeBeautify pour rendre votre JSON lisible ou reformater du code, et bien figurez-vous que des chercheurs en sécu viennent de découvrir que ces outils ont laissé fuiter des tonnes de données sensibles durant des années. Et quand je dis tonnes, c’est pas une figure de style puisque ce sont plus de 80 000 extraits de code contenant des credentials en clair qui ont fuité, soit plus de 5 Go de données.

En effet, les chercheurs de WatchTowr ont découvert que la fonction “Recent Links” de ces plateformes permettait d’accéder à tous les bouts de code collés par les utilisateurs. Les URLs suivaient un format prévisible, ce qui rendait le scraping automatique hyper fastoche pour n’importe qui, et c’est comme ça qu’on a découvert que JSONFormatter a exposé durant 5 ans de données les données de ses utilisateurs. Et du côté de CodeBeautify, ça a duré 1 an.

Les chercheurs ont mis la main sur des identifiants Active Directory, des identifiants de bases de données et services cloud, des clés privées de chiffrement, des tokens d’accès à des repos Git, des secrets de pipelines CI/CD, des clés de passerelles de paiement, des tokens API en pagaille, des enregistrements de sessions SSH, et même des données personnelles de type KYC. Bref, le jackpot pour un attaquant, quoi.

Et côté victimes, c’est un festival puisqu’on y retrouve des agences gouvernementales, des banques, des assurances, des boîtes d’aéronautique, des hôpitaux, des universités, des opérateurs télécom… et même une entreprise de cybersécurité. On a même retrouvé les credentials AWS d’une bourse internationale utilisés pour leur système Splunk, ainsi que des identifiants bancaires provenant de communications d’onboarding d’un MSSP (Managed Security Service Provider). C’est cocasse comme dirait Macron.

Et pour prouver que le problème était bien réel et exploitable, les chercheurs de WatchTowr ont utilisé un service appelé Canarytokens dont je vous ai déjà parlé. Ils ont implanté de faux identifiants AWS sur les plateformes et ont attendu de voir si quelqu’un y accédait…

Résultat, quelqu’un a tenté de les utiliser 48 heures après que les liens étaient censés avoir expiré, et 24 heures après leur suppression supposée. Les données restaient donc accessibles bien au-delà de ce que les utilisateurs pouvaient imaginer.

Et le pire dans tout ça c’est qu’au moment de la publication des articles, les liens “Recent Links” étaient toujours accessibles publiquement sur les deux plateformes. Bref, aucune correction n’a été déployée.

Donc, voilà, si vous avez utilisé ces outils par le passé et que vous y avez collé du code contenant des identifiants et autres clés API (même par inadvertance), c’est le moment de faire une petite rotation de vos secrets.

Et même si c’est une évidence, de manière générale, évitez de balancer du code sensible sur des outils en ligne dont vous ne maîtrisez pas la politique de conservation des données.

Source

C’est dégueulasse, j’ai pas d’autre mot.

La plateforme SecretDesires.ai, un service de chatbot érotique avec génération d’images par IA, a laissé fuiter dans la nature près de 2 millions de photos et vidéos dans des conteneurs Azure pas du tout sécurisés. Hé oui, n’importe qui pouvait y accéder via de simples fichiers XML contenant tous les liens vers les images, et ça ont le sait grâce à cette enquête de 404 Media .

Alors qu’est-ce qu’on trouve dans cette fuite ?

Hé bien sans surprise des photos de célébrités mais surtout des photos de parfaites inconnues. Des selfies pris dans des chambres, des photos de profil de réseaux sociaux, des photos de remise de diplôme universitaire et j’en passe. Certains fichiers contiennent même les noms complets des femmes photographiées donc autant vous dire que ça craint un max !

Alors pourquoi y’avait tout ça ? Et bien SecretDesires proposait une fonctionnalité de “face swapping” dans ses abonnements payants (entre 7,99 et 19,99 dollars par mois, les pervers ont les moyens), qui permettait en uploadant la photo d’une vraie personne, de “coller” son visage sur d’autres images et vidéos sexuellement explicites générées pour l’occasion. Un container “removed images” contenait environ 930 000 images, un autre baptisé “faceswap” en contenait +50 000, et un troisième nommé “live photos” (des shorts vidéos IA) en contenait +220 000 dont des vidéos montrant des personnes d’apparence trèèèès jeune…

Et les prompts visibles dans certains noms de fichiers sont encore plus flippants car certains “clients” de cette plateforme ont demandé clairement des images de mineures. Et bien sûr, même si SecretDesires interdisait ça dans ses CGU, rien n’était fait techniquement pour l’empêcher.

De plus, la plateforme mentait à ses clients !! Elle se vantait d’utiliser un chiffrement de bout en bout et des serveurs ultra-sécurisés, sauf que leurs conteneurs Azure étaient grands ouverts depuis des mois vu les dates des fichiers et absolument rien n’était chiffré.

Heureusement, environ une heure après que 404 Media ait contacté SecretDesires pour les prévenir de la faille, les fichiers ont été rendus inaccessibles.

Alors j’sais pas si certains d’entre vous se sont déjà amusés à créer des deepfakes sexuels d’autres personnes sans leur consentement, mais sachez que les conséquences pour les victimes sont souvent dévastatrices. Cela a un impact sur leur carrière, leur confiance en soi, et parfois leur sécurité physique… Et bien sûr cela fait de vous des agresseurs sexuels !

Donc arrêtez d’utiliser ces services de merde, utilisez votre cerveau, faites preuve d’empathie et bien sûr, comme toujours, force aux victimes !

Source

Illuminate Education paie 5,1 millions $ après une violation de données massives ayant exposé les informations personnelles de millions d’élèves....

La fuite de données du ministère britannique de la Défense a exposé des réfugiés afghans à de graves menaces physiques et psychologiques....

Akira revendique une attaque contre Apache OpenOffice et menace de publier 23 Go de données internes de la Fondation Apache....

New York inflige 14,2 millions $ d’amendes à huit assureurs pour graves failles de cybersécurité exposant plus de 825 000 clients....

Mango victime d’une fuite de données via un prestataire marketing. Données limitées exposées, systèmes internes préservés, vigilance recommandée....

Les attaques d’identité explosent selon Microsoft. ZATAZ analyse la hausse de 32 % des piratages liés aux mots de passe volés....

Les municipales 2026 s’annoncent sous tension numérique. Zataz alerte sur les cyberrisques visant les mairies françaises avant le scrutin....

Un acteur étatique a infiltré F5, volant le code source et des failles BIG-IP, exposant un risque majeur de chaîne d’approvisionnement.