BREAKING NEWS

La faille vBulletin a fait de gros dégâts

Posted On 30 Oct 2019
By :
Comments: 5
Tag: , , , ,

Une faille visant vBulletin, corrigée fin septembre 2019, a fait de gros dégâts… et pas seulement pour les sites web. Des centaines de milliers d’internautes sont concernés.

24 septembre 2019, panique chez les gestionnaires de sites web au fait des alertes de cybersécurité. Une faille « critique » touche vBulletin 5. VBulletin est un outil web permettant de gérer, par exemple, un forum.

Premier détail, de taille, il faut très peu de connaissances ou de compétences pour pouvoir exploiter la faille.

Il ne faut aucune authentification pour exploiter cette vulnérabilité.

L’alerte était très précise concernant l’impact sur la confidentialité: « la divulgation d’informations est considérable » dixit le NIST (CVE-2019-16759).

J’ai attendu un mois pour parler des conséquences, afin de laisser le temps aux sites alertés de corriger. De prévenir leurs utilisateurs.

Des fuites – trop – nombreuses !

J’ai détecté dans les sites pirates et autres blackmarket surveillés par le Service Veille ZATAZ pas moins de 903 sites impactés.

Parmi les victimes  : Vmedia, Hookers, Elsword, Com2us, Toulanforum …

Le problème de cette faille ? Elle a permis à des pirates de mettre la main sur les identités des membres de dizaines de sites.

Identités, mais aussi IP, adresses mails, pseudonymes et autres mots de passe. Heureusement, les « password » d’accès sont hashés. Donc non utilisable en l’état.

Plusieurs espaces pirates diffusent, depuis août 2019, outils et liens vers des espaces faillibles. Sur GitHub, un outil exécute un PoC pour vérifier si votre site est vulnérable (ports 443 et 80).

Ce qui m’inquiète le plus ?  Ce que les pirates ne disent pas encore.

Par exemple, le site Canadien Vmedia expliquait le 25 septembre avoir corrigé une faille sur son forum. « Il est possible que notre base de données vBulletin ait été compromise, ce qui inclut les informations de compte des membres de notre communauté. » souligne l’entreprise dans un communiqué de presse. « Plus précisément, les adresses de messagerie, les mots de passe, les anniversaires et les coordonnées géographiques des utilisateurs peuvent avoir été vulnérables. Bien que vBulletin chiffre les mots de passe des utilisateurs stockés, les autres informations saisies par les utilisateurs ne sont pas chiffrées et peuvent avoir été compromises lors de cette attaque. »

Ce que j’ai pu constater dans des black market et autres espaces pirates VIP n’indiquent rien d’autre, pour le moment, que les IP, mails, pseudonymes et mots de passe. Il n’y avait pas, dans ce cas, de dates d’anniversaire ou « autres informations saisies par les utilisateurs« .

Au sujet de l'auteur
Damien Bancal - Fondateur de ZATAZ.COM / DataSecurityBreach.fr Travaille sur les sujets High-tech/Cybercriminalité/Cybersécurité depuis 1989. Gendarme réserviste - Lieutenant-Colonel (RC) ComCyberGend. Fondateur du Service Veille ZATAZ : https://www.veillezataz.com En savoir plus : https://www.damienbancal.fr

Articles connexes

0

Mauvaise pêche : piratage de la société Hook-up

Posted On 12 Jan 2024
, By
0

CONDAMNATION À 80 MOIS DE PRISON POUR AVIRAM AZARI, IMPLIQUÉ DANS UNE VASTE CAMPAGNE DE PIRATAGE INFORMATIQUE

Posted On 27 Nov 2023
, By
0

Le port japonais de Nagoya suspend ses opérations de fret à la suite d’un ransomware

Posted On 06 Juil 2023
, By
2

Le piratage massif de Xplain met en péril la sécurité de la Suisse

Posted On 06 Juil 2023
, By
0

Une cyberattaque majeure a secoué les examens du lycée national grec

Posted On 06 Juin 2023
, By
0

Western Digital, géant de la sauvegarde, des données sensibles volées ?

Posted On 18 Avr 2023
, By
0

Des pirates de l’administration fiscale devant la justice

Posted On 24 Mar 2023
, By
0

Piratage : des données volées à la Ville de Lille

Posted On 17 Mar 2023
, By
1

Nouveau piratage pour le site 1001 Pneus

Posted On 14 Mar 2023
, By
0

Des milliers de rendez-vous santé annulés aprés le piratage d’un hôpital

Posted On 09 Mar 2023
, By
0

Fuite en Russie : les chiffres que Poutine n’aurait pas aimé lire

Posted On 03 Fév 2023
, By
0

Piratage d’un casino en ligne

Posted On 16 Jan 2023
, By
0

Piratage de l’autorité civil de l’aviation de Dubaï

Posted On 16 Jan 2023
, By
0

Quand un cabinet d’experts comptables se fait pirater, les clients peuvent trembler !

Posted On 13 Jan 2023
, By
0

Piratage : pourquoi un pirate s’intéresse à votre accès web de contribuable ?

Posted On 11 Jan 2023
, By
0

Lockbit 3.0 se rachète une conduite ?

Posted On 04 Jan 2023
, By
0

Les pirates du groupe HIVE revendiquent le piratage d’Intersport

Posted On 06 Déc 2022
, By
0

45 millions de clients de deux compagnies aériennes vendus par un pirate 8 000 $

Posted On 23 Nov 2022
, By
0

Piratage de péages : une fuite massive made in Marseille !

Posted On 23 Nov 2022
, By
0

Un pirate s’attaque aux intérimaires d’ADECCO

Posted On 11 Nov 2022
, By
  1. ungars 30/10/2019 at 22:15 Reply

    « les autres informations saisies par les utilisateurs ne sont pas chiffrées » :
    je crois halluciner !

  2. Analyste-Cybersecurité 05/11/2019 at 07:43 Reply

    En tant que Analyste en Cybersécurité tout les sites webs que je test ont les données non chiffrées, il y a même pas 10% qui chiffre leur données et il y a même des sites webs qui ont encore leurs mot de passe en clair…

  3. Pingback: ZATAZ Les données du forum Zone alarm piratées - ZATAZ

  4. Pingback: ZATAZ Courriel professionnel, n'est pas courriel personnel - ZATAZ

  5. Pingback: ZATAZ » Mise en vente de plus de 10 000 sites web

Répondre à Analyste-Cybersecurité Annuler la réponse

*

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.

Partenaires

NinjaOne
IS Decisions Cyber university
ZATAZ Partenaire du Forum International de la Cybersécurité
Ambient IT Formation OSCP Tutos gratuits sécurité informatique Transmettre vos fichiers sécurisés à ZATAZ

Publicité

Partenaires de ZATAZ

Oteria Cyber School CyberSecuExpo 2024 Barracuda ! Abonnez-vous gratuitement aux actuaités de ZATAZ Soyez plus rapide que les pirates informatiques ! facebook twitter instagram twitch instagram youtube zataz

Publicités

Rechercher une info

Calendrier

avril 2024
L M M J V S D
1234567
891011121314
15161718192021
22232425262728
2930  

Les + commentés

Loi Fake News Patchs Tuesday chantage par mail

Retour du chantage par mail : je vous vois à poil !

209 Comments
Escroquerie - Plusieurs dizaines de lecteurs de ZATAZ m'ont alerté d'un étrange courriel reçu. Il contient le mot de passe des cibles et réclame de l'argent pour ne pas en divulguer plus. ZATAZ va vous expliquer le fond de l'arnaque.

Escroquerie : chantage par mail à l'encontre de milliers de Français

206 Comments
Chantage

Chantage par mail : NON vous n'avez pas été piraté

147 Comments

Publicités

Sur le Oueb

Revue de presse : ZATAZ Revue de presse
Réseaux sociaux : TW/FB/TK/Masto/LK
DSB : Data Security Breach
Page officielle Damien Bancal

Divers

Remonter un problème.
Mentions légales.
Certaines images viennent de Freepik.
Typo titre : adrien-coquet.com

Protocole d’alerte ZATAZ

Protocole ZATAZ (2023) : 80 876
Taux de correction (100 derniers cas) : 97 %
Alerter anonymement.
Page sécurisée Bluefiles pour transmettre à ZATAZ un fichier.

Service Veille ZATAZ

Espaces pirates sous surveillance: 217 201 Alertes envoyées au 01/11/2023 : 27 801 Fuites constatées en 2023 : + 17 milliards Service veille ZATAZ : veillezataz.com

L'école de cybersécurité Cyber Management School
Copyright 1996 - 2020 :: ZATAZ - Réalisation DB. - Le site OFFICIEL est ZATAZ.COM - Le reste ne serait que contrefaçon