Facebook et Cambridge Analytica, la panique Spectre et Meltdown, les fausses nouvelles ne sont que la pointe de l'iceberg de l'incident de 2018. L'année dernière a été chaude pour les professionnels de la sécurité de l'information et pour de nombreux utilisateurs qui ont dû précipiter les mots de passe à la hâte. Au Binary District, nous avons compilé une sélection de 12 hacks, hacks et fuites de données révélateurs qui se sont produits en 2018.
Sur la liste, il y a des histoires sur la vulnérabilité qui a amené Google+, Alexa trop bavarde, des écouteurs perfides, un administrateur brésilien imprudent, une synergie de bugs sur Facebook et un DDoS sans précédent.
Quatre attaques de pirates
Juste de l'espace, ou comment perdre 13 millions de dollars
Qu'est-il arrivé? En août 2018, les pirates ont
effectué plus de 15000 transactions illégales avec des comptes de l'Indian Cosmos Bank via des distributeurs automatiques de billets en sept heures, et le lendemain, plusieurs transferts importants via le système SWIFT.
Quelle en est la raison. Au cours de la première phase de l'opération, de nombreuses cartes bancaires clonées ont été utilisées, créées en raison d'une vulnérabilité inconnue dans les systèmes de l'un des émetteurs. Avec leur aide, des complices de hackers retiraient de l'argent aux distributeurs automatiques de billets. Dans la deuxième phase, probablement, une nouvelle version du malware DYEPACK a été utilisée, ce qui vous permet de contourner l'autorisation des transferts dans les réseaux bancaires et de masquer les rapports sur leur mise en œuvre.
Les détails n'ont pas été divulgués aux fins de l'enquête, mais l'attaque est associée au groupe de hackers nord-coréen APT38, spécialisé dans le piratage de SWIFT.
Quelles en sont les conséquences. Les pertes de Cosmos Bank se sont élevées à environ 13 millions de dollars, deux d'entre elles étaient dans le compte d'une des banques de Hong Kong, le reste - en espèces entre les mains de "mules d'argent". La course aux armements entre SWIFT et les pirates se poursuit et, en 2019, nous recevrons probablement de nouveaux messages sur les attaques contre les banques.
Facebook malchance
Qu'est-il arrivé? Le scandale autour des élections américaines n'avait pas encore diminué, car en septembre 2018, il est devenu connu que des pirates avaient réussi à accéder aux données de millions d'utilisateurs de Facebook.
Quelle en est la raison. Le piratage n'aurait pas été possible
sans la combinaison de bogues dans le téléchargeur vidéo, qui utilise la technologie d'authentification unique et la fonction «Voir comment». Avec leur aide, les pirates ont collecté massivement les jetons qu'une application mobile génère, de sorte que lors du chargement de pages Web avec des modules de réseaux sociaux, il n'est pas nécessaire de se reconnecter.
Quelles en sont les conséquences. Les pirates ont reçu des informations sur 30 millions de comptes. Les numéros de téléphone et les adresses e-mail ont été divulgués, les données spécifiées dans le profil, les données sur les types d'appareils à partir desquels l'utilisateur entre sur le réseau social, les 10 derniers endroits marqués et 15 requêtes de recherche.
Les jetons peuvent être utilisés pour accéder à toutes les ressources du réseau où une autorisation via Facebook est appliquée. Le FBI n'a pas divulgué les détails de l'enquête, mais à en juger par les informations disponibles, les pirates n'ont pas réussi à réaliser leurs plans. Après la découverte de l'intrusion, la vulnérabilité a été corrigée et l'équipe Facebook a abandonné les jetons d'autorisation pour les utilisateurs concernés (et 60 millions par mesure de précaution).
Grosse fraude
Qu'est-il arrivé? L'un des stratagèmes de fraude les plus importants et les plus complexes avec la publicité en ligne a été découvert, qui comprenait un réseau de 10 000 faux domaines et un botnet qui contrôlait plus d'un million d'adresses IP. À son apogée, les bots ont généré plus de 3 milliards d'impressions publicitaires par jour.
Quelle en est la raison. Pour créer le botnet, les pirates ont utilisé les chevaux de Troie Miuref et Boaxxe, des attaques visant BGP - le protocole de la passerelle de frontière, ainsi que des applications mobiles avec des signets intégrés. Ils ont développé
plusieurs vecteurs d'attaques sur les réseaux publicitaires et les ont modifiés à mesure qu'ils étaient découverts par des experts de Google. De plus, les robots ont réussi à imiter le comportement humain, simulant des mouvements de souris et des clics aléatoires.
Quelles en sont les conséquences. Des pirates ont été trouvés, ils sont
officiellement inculpés , mais les pertes financières de l'industrie de la publicité doivent encore être évaluées.
Google encourage l'attention sur les vulnérabilités potentielles des réseaux publicitaires pour les abus et pour accélérer la création et l'adoption de normes industrielles telles que ads.txt. La société a supprimé de Google Play les applications participant à ce programme qui utilisaient des mécanismes d'injection de clics et / ou d'inondation de clics, y compris l'un des claviers tiers les plus populaires - Kika Keyboard avec 200 000 installations.
Reddit piraté
Qu'est-il arrivé? En juin 2018, des pirates informatiques ont compromis les comptes des employés du site et ont eu accès à plusieurs systèmes sans nom, aux codes source de Reddit, à la documentation, à une partie des adresses e-mail des utilisateurs et à d'anciennes sauvegardes.
Quelle en est la raison. Les administrateurs ont utilisé un système d'authentification à deux facteurs via SMS pour autoriser. L'attaque a été menée en interceptant un code de confirmation. Les pirates pourraient dupliquer une carte SIM, tromper les employés d'un opérateur de télécommunications et réémettre des cartes ou attaquer un protocole SS7 obsolète.
Quelles en sont les conséquences. L'accès au code source du site peut entraîner de nouvelles attaques.
Reddit a annoncé la révision des règles internes de sécurité de l'information et la transition vers les jetons 2FA, qui génèrent régulièrement un nouveau code de confirmation. Les utilisateurs concernés ont reçu des notifications, mais nous avons de nouveau été convaincus de l'
imperfection de l'authentification SMS .
Trois fakapa ennuyeux
Apache brésilien
Qu'est-il arrivé? Les numéros d'identification (l'analogue TIN) de 120 millions de contribuables brésiliens - environ 57% de la population du pays - ainsi que des informations personnelles: adresses, numéros de téléphone, données sur les prêts, etc.
étaient disponibles gratuitement.
Quelle en est la raison. Serveur HTTP Apache mal configuré, dont l'administrateur a renommé l'index.html standard en index.html_bkp. Le coupable de l'incident reste inconnu. Il ne s'est probablement tout simplement pas rendu compte qu'il avait activé la liste des répertoires pour tous les fichiers du répertoire.
Quelles en sont les conséquences. Les numéros d'identification fiscale du Brésil sont nécessaires pour ouvrir des comptes bancaires, obtenir des prêts et enregistrer des personnes morales. Un peu d'ingénierie sociale - et ces données se transforment en argent facile. La base devrait être bientôt disponible sur le darknet.
Certifications Sennheiser
Qu'est-il arrivé? Les développeurs de Sennheiser HeadSetup et HeadSetup Pro, un logiciel pour passer des appels sur le réseau, ont marché sur le même rythme que Dell et Lenovo il y a plusieurs années. Ils ont utilisé des certificats racine dangereux.
Quelle en est la raison. Avec HeadSetup, deux certificats racine ont été installés sur l'ordinateur. Les clés privées ont été enregistrées dans le fichier SennComCCKey.pem, d'où elles sont
faciles à extraire . Ainsi, les attaquants pourraient les utiliser pour falsifier des certificats, des sites légitimes, etc.
Quelles en sont les conséquences. Sennheiser
a publié des mises à jour de ses programmes , mais tous les systèmes sur lesquels les versions HeadSetup 7.3, 7.4 et 8.0 ont été installées dans le passé restent vulnérables aux attaques comme l'homme au milieu. Les programmes peuvent être mis à jour ou supprimés, mais se débarrasser des certificats eux-mêmes, valables jusqu'en 2027 et 2037, n'est pas si simple. Ils restent dans le système d'exploitation Trust Store et nécessitent une suppression manuelle.
Alexa vous dira tout sur vous
Qu'est-il arrivé? Amazon, en réponse à une demande en vertu du RGPD, a envoyé 1700 enregistrements intelligents à la mauvaise personne. Après les avoir écoutés, il a été possible d'identifier le propriétaire et son ménage, de connaître l'adresse et de nombreux détails, tels que les préférences musicales.
Quelle en est la raison. Un représentant de l'entreprise
dans une conversation avec des journalistes de Business Insider décrit cela comme un cas isolé et fait référence au facteur humain.
Mais des situations similaires ne sont pas rares. Ainsi, dans le cadre de la «loi sur la diffusion de l'information» en vigueur aux États-Unis, qui vise à accroître la transparence du travail des fonctionnaires, tout le monde peut demander certaines données aux agences gouvernementales. En réponse à une telle demande, l'hôtel de ville de Seattle, accompagné de métadonnées de 32 millions de lettres, a
envoyé 256 premiers caractères de chaque message au militant Internet Matt Chapman. Parmi eux figuraient les noms et mots de passe des utilisateurs, les numéros de carte de crédit, les cartes de sécurité sociale et les permis de conduire, les rapports de police, les données d'enquête du FBI et d'autres informations confidentielles. Et le gouvernement suédois a
accidentellement révélé les données personnelles des participants au programme de protection des témoins et d'un certain nombre d'officiers chargés de l'application des lois.
Quelles en sont les conséquences. Comparé aux cas décrits ci-dessus, l'incident d'Amazon est relativement inoffensif. Cependant, cela vous fait vous demander s'il vaut la peine de laisser entrer des appareils intelligents dans la maison, en particulier ceux qui peuvent écouter, et à quel point le RGPD peut être utile pour un pirate qui a déjà accédé à votre compte.
Quelques vulnérabilités qui ont (presque) tué les services
Talon d'Achille Microsoft
Qu'est-il arrivé? Un employé de SafetyDetective a
découvert une chaîne de vulnérabilités critiques dans les services Web Microsoft , qui permettait d'accéder à success.office.com en sept étapes et d'envoyer des e-mails avec des liens de phishing au nom de l'entreprise.
Quelle en est la raison. Le point d'accès était une application Web Azure cassée. Ayant pris le contrôle du domaine success.office.com avec son aide, le chercheur a utilisé des erreurs dans la vérification OAuth pour contourner le mécanisme d'autorisation et obtenir des jetons d'autres personnes en utilisant le phishing. La victime d'un tel hack n'aurait guère deviné l'astuce, car un lien dangereux aurait une URL officielle comme: login.live.com.
Quelles en sont les conséquences. Ayant découvert la vulnérabilité, SafetyDetective a contacté Microsoft en juin 2018. L'entreprise a répondu et corrigé la situation en novembre 2018. Les experts en sécurité estiment que la vulnérabilité a affecté environ 400 millions d'utilisateurs et a permis l'accès à tous les comptes de compte Microsoft, de Microsoft Outlook au Microsoft Store.
Agony Google+
Qu'est-il arrivé? Au cours de l'année, les experts de Google ont découvert deux vulnérabilités dans un réseau social mourant.
L'un d'eux , qui a permis de connaître l'âge de connexion, le sexe, l'adresse e-mail et le lieu de travail de l'utilisateur, existait depuis 2015 et concernait environ 500000 comptes, le
second est apparu dans le code relativement récemment , en novembre 2018, mais a révélé des données beaucoup plus confidentielles: sous attaque il y avait 52,5 millions de comptes.
Quelle en est la raison. Un audit de sécurité a montré que les deux vulnérabilités étaient causées par des erreurs dans l'API Google+ qui ouvraient un accès non autorisé aux données utilisateur pour les applications connectées.
Quelles en sont les conséquences. Google ne peut pas répondre en toute confiance à la question de savoir si la première vulnérabilité a été exploitée, car les journaux de l'API ne sont pas stockés pendant plus de deux semaines. La deuxième vulnérabilité a été remarquée et corrigée 6 jours après l'apparition, mais l'entreprise a tout de même décidé d'accélérer la fermeture de Google+. Les API seront désactivées le 7 mars 2019. Le réseau social cessera complètement de fonctionner en avril de cette année.
Un enregistrement DDoS
Qu'est-il arrivé? Le 28 février 2018, les pirates ont
lancé une
attaque record de 1,35 Tb / s
sur les serveurs GitHub , mais le 5 mars 2018, les
analystes ont rapporté que le record était battu. Lors d'une nouvelle attaque, le réseau de l'un des fournisseurs américains a été soumis à une charge, au pic atteignant 1,7 Tb / s.
Quelle en est la raison. Le blâme est la vulnérabilité du code Memcached connu depuis 2014 - logiciel de mise en cache des données dans la RAM du serveur. À l'automne 2017, un moyen a été trouvé d'utiliser la vulnérabilité pour mettre en œuvre des attaques DRDoS avec multiplication du trafic via des serveurs réflecteurs vulnérables.
Quelles en sont les conséquences. Le record est susceptible d'être battu, car il y a encore beaucoup de ressources sur le réseau qui utilisent les paramètres Memcached vulnérables incorrects. Pour se protéger contre de telles attaques,
Cloudflare recommande de restreindre ou de bloquer UDP pour le port 11211.
Le nombre d'incidents dans le domaine de la sécurité de l'information ne fait que croître. Au cours de cette brève visite, nous n'avons collecté qu'une partie du spectre des menaces possibles, dont beaucoup n'ont pas encore été détectées. Si vous souhaitez protéger votre service ou devenir un Sherlock Holmes avec un chapeau blanc, en collaboration avec les experts du district binaire de la BI.ZONE Academy of Cybersecurity, vous conduirez pour vous une
sécurité intensive
des applications Web et des
enquêtes sur les cyberattaques pour les entreprises . Les cours auront lieu du 16 au 17 février sur le site Digital October.