BREAKING NEWS

La faille vBulletin a fait de gros dégâts

Posted On 30 Oct 2019
By :
Comments: 5
Tag: , , , ,

Une faille visant vBulletin, corrigée fin septembre 2019, a fait de gros dégâts… et pas seulement pour les sites web. Des centaines de milliers d’internautes sont concernés.

24 septembre 2019, panique chez les gestionnaires de sites web au fait des alertes de cybersécurité. Une faille « critique » touche vBulletin 5. VBulletin est un outil web permettant de gérer, par exemple, un forum.

Premier détail, de taille, il faut très peu de connaissances ou de compétences pour pouvoir exploiter la faille.

Il ne faut aucune authentification pour exploiter cette vulnérabilité.

L’alerte était très précise concernant l’impact sur la confidentialité: « la divulgation d’informations est considérable » dixit le NIST (CVE-2019-16759).

J’ai attendu un mois pour parler des conséquences, afin de laisser le temps aux sites alertés de corriger. De prévenir leurs utilisateurs.

Des fuites – trop – nombreuses !

J’ai détecté dans les sites pirates et autres blackmarket surveillés par le Service Veille ZATAZ pas moins de 903 sites impactés.

Parmi les victimes  : Vmedia, Hookers, Elsword, Com2us, Toulanforum …

Le problème de cette faille ? Elle a permis à des pirates de mettre la main sur les identités des membres de dizaines de sites.

Identités, mais aussi IP, adresses mails, pseudonymes et autres mots de passe. Heureusement, les « password » d’accès sont hashés. Donc non utilisable en l’état.

Plusieurs espaces pirates diffusent, depuis août 2019, outils et liens vers des espaces faillibles. Sur GitHub, un outil exécute un PoC pour vérifier si votre site est vulnérable (ports 443 et 80).

Ce qui m’inquiète le plus ?  Ce que les pirates ne disent pas encore.

Par exemple, le site Canadien Vmedia expliquait le 25 septembre avoir corrigé une faille sur son forum. « Il est possible que notre base de données vBulletin ait été compromise, ce qui inclut les informations de compte des membres de notre communauté. » souligne l’entreprise dans un communiqué de presse. « Plus précisément, les adresses de messagerie, les mots de passe, les anniversaires et les coordonnées géographiques des utilisateurs peuvent avoir été vulnérables. Bien que vBulletin chiffre les mots de passe des utilisateurs stockés, les autres informations saisies par les utilisateurs ne sont pas chiffrées et peuvent avoir été compromises lors de cette attaque. »

Ce que j’ai pu constater dans des black market et autres espaces pirates VIP n’indiquent rien d’autre, pour le moment, que les IP, mails, pseudonymes et mots de passe. Il n’y avait pas, dans ce cas, de dates d’anniversaire ou « autres informations saisies par les utilisateurs« .

Au sujet de l'auteur
Damien Bancal (damienbancal.fr) est un expert internationalement reconnu en cybersécurité. Il a fondé le projet Zataz en 1989. ZATAZ.com est devenu une référence incontournable en matière d'information sur la sécurité informatique et les cybermenaces pour le grand public. Avec plus de 30 ans d'expérience, Damien Bancal s'est imposé comme une figure majeure dans ce domaine, contribuant à la sensibilisation et à la protection des internautes contre les cyberattaques. Sa carrière est marquée par une forte implication dans l'éducation à la cybersécurité, notamment à travers des conférences et des publications spécialisées. Il est l'auteur de plusieurs ouvrages (17) et articles (plusieurs centaines : 01net, Le Monde, France Info, Etc.) qui explorent les divers aspects du piratage informatique et de la protection des données. Il a remporté le prix spécial du livre du FIC/InCyber 2022. Finaliste 2023 du 1er CTF Social Engineering Nord Américain. Vainqueur du CTF Social Engineering 2024 du HackFest 2024 (Canada). Damien Bancal a également été largement reconnu par la presse internationale dont le New York Times, qui souligne non seulement son expertise mais aussi son parcours inspirant. Par exemple, un portrait de La Voix du Nord le décrit comme "Monsieur Cybersécurité", soulignant son influence et son rôle essentiel dans ce domaine. Enfin, il figure parmi les personnalités les plus influentes dans la cybersécurité, comme le souligne Le Big Data, et a été classé parmi les 500 personnalités tech les plus influentes en 2023 selon Tyto PR. Chroniqueur TV et Radio (France Info, M6, RTL, Medi1, Etc.) Volontaires de la réserve citoyenne - Gendarmerie Nationale et de l'Éducation Nationale. Médaillé de la DefNat (Marine Nationale) et de la MSV (Gendarmerie Nationale). Entrepreneur, il a lancé en 2022 la société veillezataz.com.

Articles connexes

0

MaPrimeRénov et Total ENGIE dans la ligne de mire de pirates ?

Posted On 15 Sep 2024
, By
0

Les boutiques de musées français indirectement impactées par une cyber attaque

Posted On 06 Août 2024
, By
0

Un pirate se fait passer pour les Notaires de France

Posted On 13 Juil 2024
, By
0

Mauvaise pêche : piratage de la société Hook-up

Posted On 12 Jan 2024
, By
0

CONDAMNATION À 80 MOIS DE PRISON POUR AVIRAM AZARI, IMPLIQUÉ DANS UNE VASTE CAMPAGNE DE PIRATAGE INFORMATIQUE

Posted On 27 Nov 2023
, By
0

Le port japonais de Nagoya suspend ses opérations de fret à la suite d’un ransomware

Posted On 06 Juil 2023
, By
2

Le piratage massif de Xplain met en péril la sécurité de la Suisse

Posted On 06 Juil 2023
, By
0

Une cyberattaque majeure a secoué les examens du lycée national grec

Posted On 06 Juin 2023
, By
0

Western Digital, géant de la sauvegarde, des données sensibles volées ?

Posted On 18 Avr 2023
, By
0

Des pirates de l’administration fiscale devant la justice

Posted On 24 Mar 2023
, By
0

Piratage : des données volées à la Ville de Lille

Posted On 17 Mar 2023
, By
1

Nouveau piratage pour le site 1001 Pneus

Posted On 14 Mar 2023
, By
0

Des milliers de rendez-vous santé annulés aprés le piratage d’un hôpital

Posted On 09 Mar 2023
, By
0

Fuite en Russie : les chiffres que Poutine n’aurait pas aimé lire

Posted On 03 Fév 2023
, By
0

Piratage d’un casino en ligne

Posted On 16 Jan 2023
, By
0

Piratage de l’autorité civil de l’aviation de Dubaï

Posted On 16 Jan 2023
, By
0

Quand un cabinet d’experts comptables se fait pirater, les clients peuvent trembler !

Posted On 13 Jan 2023
, By
0

Piratage : pourquoi un pirate s’intéresse à votre accès web de contribuable ?

Posted On 11 Jan 2023
, By
0

Lockbit 3.0 se rachète une conduite ?

Posted On 04 Jan 2023
, By
0

Les pirates du groupe HIVE revendiquent le piratage d’Intersport

Posted On 06 Déc 2022
, By
  1. ungars 30/10/2019 at 22:15 Reply

    « les autres informations saisies par les utilisateurs ne sont pas chiffrées » :
    je crois halluciner !

  2. Analyste-Cybersecurité 05/11/2019 at 07:43 Reply

    En tant que Analyste en Cybersécurité tout les sites webs que je test ont les données non chiffrées, il y a même pas 10% qui chiffre leur données et il y a même des sites webs qui ont encore leurs mot de passe en clair…

  3. Pingback: ZATAZ Les données du forum Zone alarm piratées - ZATAZ

  4. Pingback: ZATAZ Courriel professionnel, n'est pas courriel personnel - ZATAZ

  5. Pingback: ZATAZ » Mise en vente de plus de 10 000 sites web

Laisser un commentaire

*

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.

Partenaires

Transmettre vos fichiers sécurisés à ZATAZ IS Decisions Logo Guardia CS, école de cybersécurité à Paris, Lyon et Bordeaux
Cyber university
ZATAZ Partenaire du Forum International de la Cybersécurité
Ambient IT Formation OSCP Tutos gratuits sécurité informatique

Publicité

Partenaires de ZATAZ

Oteria Cyber School
Barracuda ! Abonnez-vous gratuitement aux actuaités de ZATAZ Soyez plus rapide que les pirates informatiques ! facebook twitter instagram twitch instagram youtube zataz

Publicités

Rechercher une info

Calendrier

octobre 2024
L M M J V S D
 123456
78910111213
14151617181920
21222324252627
28293031  

Les + commentés

Loi Fake News Patchs Tuesday chantage par mail

Retour du chantage par mail : je vous vois à poil !

210 Comments
Escroquerie - Plusieurs dizaines de lecteurs de ZATAZ m'ont alerté d'un étrange courriel reçu. Il contient le mot de passe des cibles et réclame de l'argent pour ne pas en divulguer plus. ZATAZ va vous expliquer le fond de l'arnaque.

Escroquerie : chantage par mail à l'encontre de milliers de Français

206 Comments
Chantage

Chantage par mail : NON vous n'avez pas été piraté

150 Comments

Publicités

Sur le Oueb

Revue de presse : ZATAZ Revue de presse
Réseaux sociaux : TW/FB/TK/Masto/LK
DSB : Data Security Breach
Page officielle Damien Bancal

Divers

Remonter un problème.
Mentions légales.
Certaines images viennent de Freepik.
Typo titre : adrien-coquet.com

Protocole d’alerte ZATAZ

Protocole ZATAZ (2023) : 80 876
Taux de correction (100 derniers cas) : 97 %
Alerter anonymement.
Page sécurisée Bluefiles pour transmettre à ZATAZ un fichier.

Service Veille ZATAZ

Espaces pirates sous surveillance: 217 201 Alertes envoyées au 01/11/2023 : 27 801 Fuites constatées en 2023 : + 17 milliards Service veille ZATAZ : veillezataz.com

L'école de cybersécurité Cyber Management School
Copyright 1996 - 2020 :: ZATAZ - Réalisation DB. - Le site OFFICIEL est ZATAZ.COM - Le reste ne serait que contrefaçon