Reportage

 

Fuite de courriels... triste habitude du web

Publié le 07-04-2011 dans le thème Phishing - Hoax

Pays : International - Auteur : Damien Bancal


Pub : Tous les antivirus gratuits pour protéger et nettoyer votre ordinateur

Note des lecteurs: 2.4/5

INFO ZATAZ - Alors que l´amérique s´émeut du vol de plusieurs millions de mels chez Epsilon, ZATAZ.COM met la main sur 60 millions d´adresses en quelques clics.
 
Voici l'un des nombreux messages laconiques envoyés par les sociétés clientes de l'agence marketing Epsilon : "Le weekend dernier, nous avons découvert qu'une partie des adresses e-mail de nos membres a été volée à la suite d'une intrusion non autorisée dans notre système. Nous avons repéré la faille et nous l'avons corrigée. Cet incident a été pris très au sérieux et des poursuites judiciaires sont en cours. En quoi êtes-vous concernés? Pour bon nombre d'entre vous: en rien. Seule une partie des adresses e-mail a été dérobée. Les mots de passe n'ont pas été atteints. Simplement, vous risquez de recevoir prochainement des e-mails non sollicités (des spams). Alors, pourquoi vous en parler? Parce que nous pensons que nous devons le faire. En tant que membre TripAdvisor, j'aimerais être informé. Malheureusement, le vol de données tend à se banaliser dans les entreprises, et nous allons nous occuper très sérieusement de cette affaire. Je vous rappelle que TripAdvisor ne possède aucune information de paiement ni aucun numéro de carte bancaire des voyageurs. Et, nous ne vendons pas et nous ne louons pas la liste de nos membres. Nous continuerons à prendre les mesures appropriées pour protéger les informations personnelles que vous avez confiées à TripAdvisor. Je vous présente mes sincères excuses pour cet incident et je vous remercie une nouvelle fois de faire partie de notre communauté de voyageurs. Steve Kaufer, Cofondateur et Président".
 
 
La société Air Miles, par exemple, a aussi alerté ses clients "Le Programme de récompense Air Miles a été avisé par notre fournisseur de service de messagerie qu'il a été victime d'un accès non autorisé à leur plate-forme de courrier électronique, qui est le système utilisé pour envoyer des courriels Air Miles (...) On nous a assuré que les seuls renseignements qui peuvent avoir été exposés sont le prénom, le nom de famille et l'adresse de courriel de certains de nos adhérents. Les détails au sujet de votre compte ne sont pas stockés dans ce système et n'étaient pas à risque. Veuillez noter qu'il est possible que vous receviez des pourriels suite à ceci."
 
Même sanction pour les filiales de Best Buy. Epsilon précise que deux pour cent de l'ensemble des eMails de ses clients ont été touchés.
 

Vendredi dernier des pirates ont exploité une injection SQL afin de voler des fichiers clients d'Epsilon, une filiale d'Alliance Data Systems dont les clients sont majoritairement des grandes banques, des détaillants et des groupes éducatifs. Bien qu'il semble à l'heure actuelle qu'aucune information financière n'ait été divulguée, des noms et des adresses e-mails semblent avoir été obtenus. Les escroqueries via une opération de "phishing" sont la préoccupation numéro un de ce vol. Les pirates peuvent alors envoyer de faux e-mails se faisant passer pour votre banque, une pharmacie, un hôtel ou une entreprise qui a été un client d'Epsilon. L'e-mail paraîtrait réel et convaincant puisque les attaquants ont les noms des clients et les informations des entreprises avec qui ils ont fait affaire. L'e-mail demanderait aux utilisateurs peu méfiants de cliquer sur un lien qui requêtrait de fournir des numéros de carte de crédit, d'exécuter des logiciels malveillants, d'installer des logiciels espions ou de mener d'autres attaques. "L'utilisateur doit être extrêmement prudent en ouvrant ou en cliquant sur les liens dans ses e-mails" confirme Amol Sarwate, responsable du laboratoire de recherche en vulnérabilités chez Qualys.
 
Voici les choses à chercher dans des courriels avant de déterminer ce qu'il faut faire :
 

1. Cet organisme m'envoie-t-il habituellement des e-mails ? Si le client ne reçoit que des rappels mensuels via e-mail, il doit être prudent concernant tout e-mail sortant du cadre de diffusion habituel.

2. Cet organisme me demande-t-il de cliquer sur des liens dans cet e-mail ? Il est dangereux de cliquer sur des liens reçus dans des e-mails. Une approche plus sûre pour visiter le site Web de l'organisation est de taper manuellement l'URL ou d'enregistrer l'URL dans vos favoris.

3. Est-ce que cet organisme me demande des renseignements personnels comme mon numéro de carte de crédit, etc ? Si une page Web qui a été ouverte via un lien placé dans un e-mail vous demande cette information, il s'agit probablement d'une fraude.

4. Est-ce que cet e-mail provient réellement de mon organisme ? En raison de la façon dont les e-mails fonctionnent, il n'est pas possible pour un utilisateur lambda de faire la distinction entre les e-mails envoyés par leur organisme ou par des pirates. Les utilisateurs ne doivent pas faire confiance aux e-mails, même si ils comportent les logos officiels ou si les couleurs ou tout autre élément familier ressemble exactement à la charte graphique de son organisme. Il est très facile d'utiliser ces éléments familiers qui incitent implicitement l'utilisateur à cliquer. Après tout, il suffit d'un clic pour que votre ordinateur soit compromis.

60 millions d'adresses en 25 minutes !

Soyons clair, les pirates n'ont pas eu le temps, ni les moyens de ponctionner plus d'information. Des pirates qui se contentent d'emails, nous n'en connaissons pas beaucoup, d'autant plus qu'il suffit de quelques mots clés bien sentis pour sortir des millions d'adresses de Google. Nous ne vous donnerons pas ces mots clés, histoire d'éviter les débordements numériques mais ZATAZ.COM a pu, en 25 minutes chrono, découvrir près de 60 millions d'adresses électroniques accessibles en quelques clics [voir nos captures écrans diffusés dans cet article, NDR].

 

Erreurs de webmasteurs, bases de données oubliées et/ou non protégées, ... bref, une manne qui dépasse l'entendement et qui tenterait à prouver que nos données ne sont que de vulgaires bits sur le réseau des réseaux. 60 millions de données sans piratage, ni tour de passe-passe malveillant. 60 millions qu'il faut additionner aux 16 millions de données privées et sensibles que nous avons permis de faire corriger, gratuitement et bénévolement, depuis le 1e janvier, via notre protocole d'alerte ZATAZ.

Quelques exemples : Des données liées à un phishing Caisse d´Epargne finissent sur le web ; CVV.SU Pwned.

 

 

Conseiller cet article Réagir RSS ZATAZ Partager cet article sur Wikio Partager cet article sur Scoopeo Digger cet article ! Partager cet article avec mes amis sur Facebook ! Partager cet article sur Fuzz Partager cet article sur del.icio.us Envoyer cet article sur Blogmarks

Derniers contenus

Fuite de données d'auditeurs de France Info

29-04-2014 à 12:55 - 0 commentaire(s)

Ip, mail et système informatique des auditeurs web de France Info accessibles aux pirates.

Problème de sécurité pour M6 Boutique

29-04-2014 à 12:10 - 0 commentaire(s)

Un bug sur le site web de M6 Boutique pourrait permettre de piéger les clients de cet espace de télé achat.

Le contrôleur Européen de la Protection des Données a des fuites

29-04-2014 à 11:50 - 0 commentaire(s)

Le site Internet du Gardien Européen de la protection des données personnelles a des problèmes avec sa propre sécurité informatique.

Watch Dogs : plusieurs failles corrigées pour Chicago

28-04-2014 à 14:19 - 0 commentaire(s)

Plusieurs importants sites de la Ville de Chicago corrigés via le protocole d'alerte de zataz.

66 pays visés par un code malveillant dédié aux SMS

28-04-2014 à 11:51 - 0 commentaire(s)

SMS Android OS FakeInst, un logiciel malveillant qui utilise vos SMS pour détourner de l'argent.

Anonymous lance le projet AirChat

28-04-2014 à 11:40 - 0 commentaire(s)

AirChat, un projet Anonymous qui souhaite permettre la diffusion de données numériques par la bande FM.

Google rembourse des utilisateurs d'Android

28-04-2014 à 11:16 - 0 commentaire(s)

Un virus informatique cachée dans une application Android ? Google s'excuse et rembourse les internautes piégés.

Piratage d'une Université pour fabriquer des bitcoins

28-04-2014 à 11:02 - 0 commentaire(s)

Des pirates informatiques ont compromis cinq serveurs de l'Université de l'Iowa pour installer une fabrique de bitcoins.

Sur le même thème : Phishing - Hoax

Le site Internet du RPIMA piraté

Le site Internet du Régiment de parachutistes d'infanterie de Marine piraté... puis exploité dans un filoutage.

Bonne année, premier phishing !

L'année 2014 commence avec une vague phishing visant les clients du Crédit Agricole, 3 Suisses et Carrefour.

Faux site de la CAF particulièrement efficace

Une nouvelle tentative de filoutage de données d'allocataires de la CAF pourrait faire de très gros dégâts.

Phishing vicieux aux couleurs des impôts

Une tentative de filoutage de données bancaires, aux couleurs de la direction générale des finances, pourrait faire des dégâts.

Vague de phishing aux couleurs des Impôts

Découverte d'une diffusion massive de faux courriels aux couleurs de la Direction générale des Finances Publiques.

Faux espace Interpol sur Facebook

Un faux espace Interpol installé sur Facebook par des escrocs du web.

Fausses boutiques en ligne SFR

Une arnaque en ligne aux couleurs de SFR passe par Facebook et des adresses web crédibles.

Académie de Martinique piratée et exploitée dans un phishing

Le site officiel de l'Inspection d'Académie de Martinique diffuse une fausse page de la banque du Crédit Mutuel.

Vos réactions ( 1 )

Réagir

 


Syndication RSS

nabaztag

  • http://www.wikio.fr
  • netvibes
  • NewsGator Online
  • Rojo
  • Bloglines
  • Google

ZATAZ mobile et PDA