Digest de la Sécurité des Bases de Données – Septembre 2018
Veuillez jeter un œil aux plus grands incidents de sécurité des bases de données en septembre 2018.
Hacker de British Airways
Pendant plus de deux semaines, vraisemblablement du 21 août au 5 septembre, des hackers ont eu accès à plus de 380 000 détails de transactions de clients qui ont effectué ou modifié des réservations sur le site officiel de la compagnie aérienne et l’application. Les hackers ont mis la main sur les informations financières suivantes : noms, adresses e-mail et informations de carte de crédit (numéros de carte de crédit, dates d’expiration et codes CVC utilisés pour approuver les paiements. Le Information Commissioner’s Office mène une enquête sur les origines de cette attaque de hacking réussie. Il est fort probable que British Airways devra payer une amende pour ne pas avoir été capable de garder les informations sensibles de ses clients en sécurité.
Les représentants de la compagnie aérienne disent que l’attaque a été menée par un groupe de cybercriminels très sophistiqué. Maintenant, la compagnie aérienne recommande aux clients affectés de contacter leurs banques pour prendre toutes les mesures nécessaires pour empêcher le vol d’argent et d’identité.
Les experts disent que les données volées pourraient valoir plus de 20 millions de livres sur le côté obscur d’Internet en fonction du prix moyen de ces informations.
Plus de 6 millions de clients touchés dans une violation de données d’un détaillant américain
SHEIN est une entreprise multinationale vendant des vêtements. Elle a démarré à North Brunswick, dans le New Jersey, en 2008. Cependant, les cybercriminels ne se soucient guère de l’entreprise qu’ils piratent, ils sont seulement intéressés à obtenir les bases de données de l’entreprise et à les vendre.
L’entreprise a admis avoir été piratée et avoir divulgué des données personnelles de plus de six millions de clients. De plus, l’entreprise a informé qu’elle avait été la cible d’un “cyber-attaque criminelle concertée” et avait dû recourir à une entreprise de cybersécurité médico-légale et à une société légale pour mener une enquête. L’entreprise n’a pas donné beaucoup de détails, mais il semble que ses serveurs aient eu des malwares téléchargés sur eux. Dans le communiqué de presse de l’entreprise, il a été déclaré que les données personnelles illégalement acquises par les hackers comprenaient les adresses e-mail et les mots de passe cryptés des clients qui ont visité le site Web de l’entreprise.
14 millions de dossiers exposés par un service de paiement gouvernemental
Une plate-forme populaire utilisée par de nombreux Américains pour payer des factures, des amendes, des frais de licence et plus encore à plus de 2000 agences et organismes gouvernementaux dans 35 États fuyait involontairement des données personnelles via une erreur sur le site Web. Les reçus en ligne émis après un paiement étaient numérotés séquentiellement. En tapant simplement de nouveaux numéros dans la barre d’adresse, tout le monde pouvait consulter les dossiers d’autres personnes. De cette manière, plus de 14 millions de dossiers étaient facilement accessibles depuis l’année 2012. Les informations exposées comprenaient les noms, adresses, numéros de téléphone et les quatre derniers chiffres des cartes bancaires. Ces informations sont théoriquement suffisantes pour une attaque de phishing très réaliste. Le service de paiement gouvernemental géré par GovPayNet a été très rapide pour éliminer ce bug.
Mises à jour de sécurité pour les bases de données
Oracle
https://nvd.nist.gov/vuln/detail/CVE-2018-16959https://nvd.nist.gov/vuln/detail/CVE-2018-16958
https://nvd.nist.gov/vuln/detail/CVE-2018-16957
https://nvd.nist.gov/vuln/detail/CVE-2018-16956
https://nvd.nist.gov/vuln/detail/CVE-2018-16955
https://nvd.nist.gov/vuln/detail/CVE-2018-16954
https://nvd.nist.gov/vuln/detail/CVE-2018-16953
https://nvd.nist.gov/vuln/detail/CVE-2018-16952
MS SQL Server
https://nvd.nist.gov/vuln/detail/CVE-2018-16659PostgreSQL
https://nvd.nist.gov/vuln/detail/CVE-2016-7070MySQL
https://nvd.nist.gov/vuln/detail/CVE-2018-17034https://nvd.nist.gov/vuln/detail/CVE-2018-17035
IBM DB2
https://nvd.nist.gov/vuln/detail/CVE-2018-1711https://nvd.nist.gov/vuln/detail/CVE-2018-1710
https://nvd.nist.gov/vuln/detail/CVE-2018-1685