Les fuites et failles sont malheureusement monnaie courante, avec plus ou moins de gravité. Au cours des dernières heures, plusieurs sociétés en ont été victimes : données personnelles et bancaires chez Ticketmaster, suspicion chez Adidas, dépôt GitHub détourné chez Gentoo, etc.
Pour le moment, la plus grosse fuite de données personnelles revient certainement à Yahoo avec pas moins de trois milliards de comptes, excusez du peu. Dans les fuites emblématiques, signalons également celle aux multiples rebondissements d’Equifax, se révélant de plus en plus graves au fil des mois.
Citons aussi le quiz de Cambridge Analytica sur Facebook (lire notre analyse), avec une captation des données de dizaines de millions de membres du réseau social. L’affaire n’est d’ailleurs pas terminée avec 120 millions de clients exposés à cause d’un autre quiz (Nametests.com).
Face à cette déferlante de comptes piratés de toute part, la résistance s’organise doucement. Des gestionnaires de mots de passe surveillent régulièrement ce genre de fuites et vous préviennent si besoin. Il en est de même pour Firefox, via un partenariat qui vient d’être officialisé avec Have I been pwned.
Les différents services vont devoir se mettre à jour, en ajoutant au moins quelques millions de comptes supplémentaires à leur base de données.
Ticketmaster accuse un script Inbenta… et se prend deux retours de bâton
Ticketmaster annonce en effet avoir été victime d’un piratage, potentiellement depuis… septembre 2017. « Le samedi 23 juin 2018, Ticketmaster UK a identifié que des logiciels malveillants sur un produit de support client hébergé par Inbenta Technologies, un fournisseur externe à Ticketmaster, exportaient les données des clients britanniques vers un tiers inconnu » explique l’entreprise spécialisée dans la vente de billets de spectacle.
Inbenta répond : « la source de la brèche de données était un seul morceau de code JavaScript, personnalisé par Inbenta pour répondre aux exigences particulières de Ticketmaster ». Elle ajoute que ce code n’est donc présent dans aucune autre implémentation ou produit Inbenta.
La société charge au passage son partenaire : « Ticketmaster a directement appliqué le script à sa page de paiement, sans en informer notre équipe. Si nous avions su que le script personnalisé était utilisé de cette façon, nous aurions …
Cet article est de Xavier Berne ( NextINpact.com )
Crédits : VladimirFLoyd/iStock