Reportage

 

Fuite de courriels... triste habitude du web

Publié le 07-04-2011 dans le thème Phishing - Hoax

Pays : International - Auteur : Damien Bancal


Pub : Tous les antivirus gratuits pour protéger et nettoyer votre ordinateur

Note des lecteurs: 2.4/5

INFO ZATAZ - Alors que l´amérique s´émeut du vol de plusieurs millions de mels chez Epsilon, ZATAZ.COM met la main sur 60 millions d´adresses en quelques clics.
 
Voici l'un des nombreux messages laconiques envoyés par les sociétés clientes de l'agence marketing Epsilon : "Le weekend dernier, nous avons découvert qu'une partie des adresses e-mail de nos membres a été volée à la suite d'une intrusion non autorisée dans notre système. Nous avons repéré la faille et nous l'avons corrigée. Cet incident a été pris très au sérieux et des poursuites judiciaires sont en cours. En quoi êtes-vous concernés? Pour bon nombre d'entre vous: en rien. Seule une partie des adresses e-mail a été dérobée. Les mots de passe n'ont pas été atteints. Simplement, vous risquez de recevoir prochainement des e-mails non sollicités (des spams). Alors, pourquoi vous en parler? Parce que nous pensons que nous devons le faire. En tant que membre TripAdvisor, j'aimerais être informé. Malheureusement, le vol de données tend à se banaliser dans les entreprises, et nous allons nous occuper très sérieusement de cette affaire. Je vous rappelle que TripAdvisor ne possède aucune information de paiement ni aucun numéro de carte bancaire des voyageurs. Et, nous ne vendons pas et nous ne louons pas la liste de nos membres. Nous continuerons à prendre les mesures appropriées pour protéger les informations personnelles que vous avez confiées à TripAdvisor. Je vous présente mes sincères excuses pour cet incident et je vous remercie une nouvelle fois de faire partie de notre communauté de voyageurs. Steve Kaufer, Cofondateur et Président".
 
 
La société Air Miles, par exemple, a aussi alerté ses clients "Le Programme de récompense Air Miles a été avisé par notre fournisseur de service de messagerie qu'il a été victime d'un accès non autorisé à leur plate-forme de courrier électronique, qui est le système utilisé pour envoyer des courriels Air Miles (...) On nous a assuré que les seuls renseignements qui peuvent avoir été exposés sont le prénom, le nom de famille et l'adresse de courriel de certains de nos adhérents. Les détails au sujet de votre compte ne sont pas stockés dans ce système et n'étaient pas à risque. Veuillez noter qu'il est possible que vous receviez des pourriels suite à ceci."
 
Même sanction pour les filiales de Best Buy. Epsilon précise que deux pour cent de l'ensemble des eMails de ses clients ont été touchés.
 

Vendredi dernier des pirates ont exploité une injection SQL afin de voler des fichiers clients d'Epsilon, une filiale d'Alliance Data Systems dont les clients sont majoritairement des grandes banques, des détaillants et des groupes éducatifs. Bien qu'il semble à l'heure actuelle qu'aucune information financière n'ait été divulguée, des noms et des adresses e-mails semblent avoir été obtenus. Les escroqueries via une opération de "phishing" sont la préoccupation numéro un de ce vol. Les pirates peuvent alors envoyer de faux e-mails se faisant passer pour votre banque, une pharmacie, un hôtel ou une entreprise qui a été un client d'Epsilon. L'e-mail paraîtrait réel et convaincant puisque les attaquants ont les noms des clients et les informations des entreprises avec qui ils ont fait affaire. L'e-mail demanderait aux utilisateurs peu méfiants de cliquer sur un lien qui requêtrait de fournir des numéros de carte de crédit, d'exécuter des logiciels malveillants, d'installer des logiciels espions ou de mener d'autres attaques. "L'utilisateur doit être extrêmement prudent en ouvrant ou en cliquant sur les liens dans ses e-mails" confirme Amol Sarwate, responsable du laboratoire de recherche en vulnérabilités chez Qualys.
 
Voici les choses à chercher dans des courriels avant de déterminer ce qu'il faut faire :
 

1. Cet organisme m'envoie-t-il habituellement des e-mails ? Si le client ne reçoit que des rappels mensuels via e-mail, il doit être prudent concernant tout e-mail sortant du cadre de diffusion habituel.

2. Cet organisme me demande-t-il de cliquer sur des liens dans cet e-mail ? Il est dangereux de cliquer sur des liens reçus dans des e-mails. Une approche plus sûre pour visiter le site Web de l'organisation est de taper manuellement l'URL ou d'enregistrer l'URL dans vos favoris.

3. Est-ce que cet organisme me demande des renseignements personnels comme mon numéro de carte de crédit, etc ? Si une page Web qui a été ouverte via un lien placé dans un e-mail vous demande cette information, il s'agit probablement d'une fraude.

4. Est-ce que cet e-mail provient réellement de mon organisme ? En raison de la façon dont les e-mails fonctionnent, il n'est pas possible pour un utilisateur lambda de faire la distinction entre les e-mails envoyés par leur organisme ou par des pirates. Les utilisateurs ne doivent pas faire confiance aux e-mails, même si ils comportent les logos officiels ou si les couleurs ou tout autre élément familier ressemble exactement à la charte graphique de son organisme. Il est très facile d'utiliser ces éléments familiers qui incitent implicitement l'utilisateur à cliquer. Après tout, il suffit d'un clic pour que votre ordinateur soit compromis.

60 millions d'adresses en 25 minutes !

Soyons clair, les pirates n'ont pas eu le temps, ni les moyens de ponctionner plus d'information. Des pirates qui se contentent d'emails, nous n'en connaissons pas beaucoup, d'autant plus qu'il suffit de quelques mots clés bien sentis pour sortir des millions d'adresses de Google. Nous ne vous donnerons pas ces mots clés, histoire d'éviter les débordements numériques mais ZATAZ.COM a pu, en 25 minutes chrono, découvrir près de 60 millions d'adresses électroniques accessibles en quelques clics [voir nos captures écrans diffusés dans cet article, NDR].

 

Erreurs de webmasteurs, bases de données oubliées et/ou non protégées, ... bref, une manne qui dépasse l'entendement et qui tenterait à prouver que nos données ne sont que de vulgaires bits sur le réseau des réseaux. 60 millions de données sans piratage, ni tour de passe-passe malveillant. 60 millions qu'il faut additionner aux 16 millions de données privées et sensibles que nous avons permis de faire corriger, gratuitement et bénévolement, depuis le 1e janvier, via notre protocole d'alerte ZATAZ.

Quelques exemples : Des données liées à un phishing Caisse d´Epargne finissent sur le web ; CVV.SU Pwned.

 

 

Conseiller cet article Réagir RSS ZATAZ Partager cet article sur Wikio Partager cet article sur Scoopeo Digger cet article ! Partager cet article avec mes amis sur Facebook ! Partager cet article sur Fuzz Partager cet article sur del.icio.us Envoyer cet article sur Blogmarks

Derniers contenus

Un Anonymous Français déclare la guerre aux hébergeurs

25-05-2012 à 13:05 - 1 commentaire(s)

Info zataz - Des dizaines d'hébergeurs sous le contrôle d'un Anonymous Français. Il déclare la guerre aux serveurs privés Dofus.

Votre compte Facebook a-t-il été infiltré ?

24-05-2012 à 12:09 - 0 commentaire(s)

Info zataz - Une vague de faux messages vise des milliers de comptes Français Facebook. Prudence aux photos sexy diffusées.

Fuite de données pour iPhone

22-05-2012 à 00:43 - 0 commentaire(s)

Info zataz - Un iPhone jailbreaké couplé avec Tweak Bulletin permet de passer outre le mot de passe d´ouverture du téléphone.

Téléphone portable ZTE piégé

22-05-2012 à 00:38 - 0 commentaire(s)

Le fabricant chinois de téléphone portable ZTE a confirmé la présence d'une porte dérobée dans l'un de ses smartphones sous Android.

Le Bureau de Justice US piraté

22-05-2012 à 00:31 - 0 commentaire(s)

Info zataz - Des milliers de données sensibles volées par des Anonymous au Bureau of Justice US.

Anonymous contre pédophiles

22-05-2012 à 00:09 - 0 commentaire(s)

Info ZATAZ : Plusieurs dizaines d´informations concernant des pédophiles présumés venant du réseau Darknet diffusées par des Anonymous.

Vulnérabilité sur les site de FHM, ELLE et Forbes

20-05-2012 à 20:38 - 0 commentaire(s)

Info zataz - Des failles découvertes sur les sites des magazines FHM, ELLE et Forbes peuvent mettre en danger les lecteurs internautes.

Anonymous menacent le gouvernement québécois

20-05-2012 à 20:28 - 0 commentaire(s)

Info @zataz - Le gouvernement Québécois veut faire interdire des manifestations étudiantes. Les Anonymous répondent en lançant des attaques informatiques.

Sur le même thème : Phishing - Hoax

Fausses menaces HADOPI

Un courrier aux couleurs d´HADOPI tente de soutirer de l´argent aux internautes Français.

Phishing électrique aux couleurs d'EDF

INFO ZATAZ - Un faux avis de coupure EDF tente de soutirer les données bancaires des clients de l'opérateur Eléctricité de France.

Escroquerie aux couleurs de Rue du Commerce

INFO ZATAZ - Un pirate informatique tente de piéger des internautes avec une fausse facture aux couleurs de la boutique en ligne Rue du Commerce.

Hameçonnage CAF

INFO ZATAZ - Nouvelle tentative de piratage de données bancaires via un filoutage aux couleurs de la CAF, la Caisse d'Allocations Familiales.

Faux site d´inscription au FAI Free

INFO ZATAZ - Approche très originale pour une tentative de filoutage de données des futurs clients Free.

Phishing pour SPF Finances

Les contribuables belges visés par une tentative de filoutage de leurs données bancaires.

Phishing FREE au goût de ventes aux enchères

INFO ZATAZ - Une tentative de filoutage de données appartenant aux clients du FAI FREE diffuse, par erreur, une étrange annonce publicitaire.

Escroquerie Internet aux couleurs d'EDF

INFO ZATAZ - Une tentative de vol de données bancaires vise les clients de l'opérateur d'énergie Français EDF.

Vos réactions ( 1 )

 Ecrit par CybStup le 07.04.2011 à 11h56 

#

Modérateur ZATAZ


Inscrit le 12-01-2008

Concernant la syntaxe, tout laisse à penser qu'il s'agit d'un export de carnet d'adresse.

Réagir

Vous devez vous identifier pour ajouter un commentaire.

Cliquer ici pour vous inscrire.

 


vpngratuit.fr - VPN Gratuit.

Crèez un site gratuitement.



Nuit du Hack 23/24 juin 2012.



ZATAZ.COm, site recommandé par ORANGE.       ZATAZ.COM trois fois récompensé par Microsoft


Application iPhone et iPad ZATAZ, gratuite et sans publicité.
Application iPhone et iPad ZATAZ, gratuite et sans publicité.



Labs ZATAZ

CVE-2011-3230 Apple Safari file:// Arbitrary Code Execution Metasploit Demo

Timeline : Vulnérabilité découverte par Aaron Sigel Publication coordonnée de la vulnérabilité le 12-10-2011 PoC Metasploit fournit le 16-10-2011 PoC fournit par : Aaron Sigel sinn3r Référence(s) : CVE-2011-3230 HT5000 Version(s) affectée(s) : Safari 5.1 pour Mac OS X v10.6.8 Safari 5.1 pour Mac [...]

Modules Metasploit Auxiliaires MySQL

Metasploit fournit des modules auxiliaires pour la base de données MySQL qui vous permettra de détecter la version du moteur de base de données, d’effectuer des attaques du type “brute force” au niveau de l’authentification sur la base de données, d’executer des requêtes SQL et de récupérer des [...]

Modules Metasploit Auxiliaires PostgreSQL

Metasploit fournit des modules auxiliaires pour la base de données PostgreSQL qui vous permettra de détecter la version du moteur de base de données, d’effectuer des attaques du type “brute force” au niveau de l’authentification sur la base de données, d’executer des requêtes SQL et lire des [...]

CVE-2011-0807 : Sun/Oracle GlassFish Server Authenticated Code Execution Metasploit Demo

Timeline : Vulnérabilité découverte par Jason Bowes et soumise à ZDI Notification initiale de ZDI vers le fournisseur le 23-09-20102 Publication coordonnée de la vulnérabilité le  19-04-2011 PoC Metasploit fournit le 04-08-2011 PoC fournit par : juan vazquez Joshua Abraham sinn3r Référence(s) [...]

Syndication RSS

nabaztag

  • http://www.wikio.fr
  • netvibes
  • NewsGator Online
  • Rojo
  • Bloglines
  • Google

ZATAZ mobile et PDA