DataSunrise sponsorise AWS re:Invent 2024 à Las Vegas, veuillez nous rendre visite au stand n°2158 de DataSunrise

Ce site Web stocke des cookies afin de collecter des informations sur la manière dont vous interagissez avec notre site Web. Pour en savoir plus, visitez notre Politique de Confidentialité.

Digest de la sécurité des bases de données – Novembre 2017

Le digest suivant présente les nouvelles les plus importantes sur la sécurité des bases de données de novembre.

Géant britannique de l'expédition Clarksons hacké : les données pourraient être divulguées à tout moment

La société britannique de transport maritime Clarksons a confirmé avoir récemment été attaquée par des pirates. La société a déclaré que des cybercriminels ont accédé à ses systèmes et que le public doit s’attendre à ce qu’une partie des données sensibles et confidentielles de l’entreprise soient divulguées.

On ne sait pas encore exactement quand la société Clarksons a été piratée et quand la violation a été découverte. Le montant de la rançon et l’identité des pirates restent inconnus.

Ainsi, en devenant victime des pirates, Clarksons rejoint la liste des grandes entreprises frappées par une attaque informatique majeure cette année.

Uber confirme officiellement une fuite massive de données

Une société technologique mondiale de transport, Uber, a officiellement divulgué une fuite massive de données. Des pirates ont violé la base de données de l'application et volé les informations personnelles de 57 millions de passagers et de conducteurs, y compris leurs noms, adresses électroniques et numéros de téléphone. La société a payé aux pirates 100 000 USD pour supprimer les données et garder la violation secrète. L'attaque a eu lieu en 2016 et le paiement a été déguisé en prix de chasse aux bugs. Cependant, le PDG d'Uber, Dara Khosrowshahi, a révélé cette violation en novembre 2017.

Les experts en cybersécurité ont déclaré que "l'attaque était un acte criminel et la dissimulation aussi". Les experts ont également indiqué que "les entreprises devraient tenir compte de la possibilité de défaillances de sécurité et anticiper le comportement malveillant de certains acteurs".

Par ailleurs, le Financial Times a rapporté que les derniers résultats trimestriels d’Uber montrent que les pertes ajustées ont augmenté, atteignant 734 millions USD, en hausse de 14 % par rapport au trimestre précédent.

1,7 million d’utilisateurs d’IMGUR compromis

Imgur, le service populaire de partage d’images, confirme que des adresses électroniques et des mots de passe ont été volés lors d’une faille de sécurité survenue en 2014. Le piratage est passé inaperçu pendant 4 ans jusqu’à ce qu’un chercheur en sécurité, Troy Hunt, informe IMGUR qu’il possède des détails sur les informations volées des utilisateurs d'Imgur.

La société continue d'enquêter sur la cause du piratage et pense que le piratage pourrait être le résultat d’un ancien algorithme utilisé à l'époque.

PayPal ferme le service Tio Networks qui a divulgué 1,6 million de dossiers

PayPal Holdings Inc. a déclaré que des informations personnellement identifiables pour 1,6 million d’utilisateurs avaient potentiellement été compromises dans une société qu’elle a acquise plus tôt cette année.

Parmi les informations client potentiellement affectées figuraient les noms, adresses, détails de compte bancaire, numéros de sécurité sociale et informations de connexion des consommateurs ayant utilisé TIO pour payer des factures.

Les clients se sont vu offrir des contrôles de crédit gratuits et une assurance contre le vol d'identité. Parallèlement, les actions de PayPal étaient déjà en baisse de 0,6 %.

Oracle met à jour en urgence

Oracle a publié une mise à jour d'urgence pour de graves vulnérabilités affectant plusieurs de ses produits s’appuyant sur son protocole propriétaire Jolt, avec deux des bugs obtenant un score de 9,9 et 10 sur l'échelle CVSS. Les bugs ont été découverts par des chercheurs d’ERPScan qui ont nommé la série de cinq vulnérabilités JoltandBleed, en raison des similitudes avec la vulnérabilité découverte en 2014, le bug HeartBleed d'OpenSSL. Voici la description des vulnérabilités :

  • CVE-2017-10272 est une vulnérabilité de divulgation de mémoire ; son exploitation permet à un attaquant de lire à distance la mémoire du serveur (9,9 sur l'échelle CVSS).
  • CVE-2017-10267 est une vulnérabilité de débordement de pile (7,5 sur l'échelle CVSS).
  • CVE-2017-10278 est une vulnérabilité de débordement de tas (7,0 sur l'échelle CVSS).
  • CVE-2017-10266 est une vulnérabilité qui permet à un acteur malveillant de forcer les mots de passe par force brute de DomainPWD utilisé pour l’authentification au protocole Jolt (5,3 sur l'échelle CVSS).
  • CVE-2017-10269 est une vulnérabilité affectant le protocole Jolt ; elle permet à un attaquant de compromettre l'ensemble du système PeopleSoft (10 sur l'échelle CVSS).

Vulnérabilité critique dans MongoDB

Score de gravité CVSS 9.1

MongoDB possède un paramètre de configuration désactivé par défaut, networkMessageCompressors (également appelé compression du protocole de communication), qui expose une vulnérabilité lorsqu'il est activé et pourrait être exploité par un attaquant malveillant afin de rendre service hors ligne ou modifier la mémoire.

Mise à jour PostgreSQL 10.1

Cette version contient une variété de corrections liées aux plantages, aux requêtes incorrectes, aux erreurs de table et à plusieurs vulnérabilités. Consultez la note de version pour plus de détails.

Digest de la sécurité des bases de données – Octobre Digest de la sécurité des bases de données – Septembre Digest de la sécurité des bases de données – Août

Suivant

Revue de la sécurité des bases de données – Février 2018

Revue de la sécurité des bases de données – Février 2018

En savoir plus

Besoin de l'aide de notre équipe de support ?

Nos experts seront ravis de répondre à vos questions.

Informations générales :
[email protected]
Ventes :
[email protected]
Service clientèle et support technique :
support.datasunrise.com
Demandes de partenariat et d'alliance :
[email protected]