Digest de la Sécurité des Bases de Données – Janvier 2019
Veuillez jeter un coup d’œil aux plus grands incidents de sécurité des bases de données en janvier 2019.
Tour de Salem
Alors que d’autres personnes profitaient de leurs vacances de Noël, plus de 7,5 millions de joueurs d’un célèbre jeu en ligne Tour de Salem ont été affectés par une fuite de données causée par les développeurs du jeu BlankMediaGames (BMG).
DeHashed, un fournisseur de moteur de recherche de bases de données piratées, a déclaré dans un article de blog qu’il avait reçu un courriel anonyme offrant une panoplie complète de données récemment violées.
La société a déclaré que l’accident s’était produit à cause d’une vulnérabilité d’inclusion de fichier local/inclusion de fichier distant.
Les données divulguées comprennent, sans s’y limiter : noms d’utilisateur, e-mails, mots de passe, adresses IP, toute l’activité en jeu et, plus important encore, les informations de paiement. Le nombre total de lignes est de : 8 388 894, avec 7 633 234 adresses e-mail uniques.
Heureusement, BMG ne stocke pas d’informations de paiement et de carte bancaire, mais les informations piratées ci-dessus pourraient facilement être utilisées pour lancer des tentatives d’hameçonnage ultérieures.
Il a fallu quelques jours à BlankMediaGames pour traiter l’incident. La société s’est excusée auprès de tous ses clients, imputant le piratage au “terrible timing”.
202 Millions de CV
Une simple recherche sur BinaryEdge ou Shodan peut donner des résultats très intéressants. Par exemple, une énorme base de données MongoDB contenant des CV détaillés de plus de 202 millions de chercheurs d’emploi chinois.
L’énorme trésor de 854 Go contenait des données sur 202,7 millions de Chinois cherchant un emploi. Les données sensibles incluaient le numéro de téléphone portable, l’e-mail, l’état civil, les enfants, les informations sur les opinions politiques, la taille, le poids, le permis de conduire, le niveau d’alphabétisation, les attentes salariales et d’autres informations personnelles. Les cybercriminels peuvent facilement utiliser et utiliseront ces informations dans des attaques de phishing bien planifiées.
L’origine des données n’est pas connue, mais certains chercheurs en sécurité informatique pensent que toutes ces informations ont été extraites de sites tiers de CV. D’autres pensent que ces données proviennent d’un dépôt GitHub contenant un code source d’application web avec des motifs similaires à ceux utilisés dans les CV divulgués.
Cette base de données a été sécurisée peu de temps après que l’information à son sujet ait été rendue publique sur Twitter, mais il est difficile de savoir depuis combien de temps elle était entièrement exposée. Les chercheurs en sécurité informatique disent qu’elle a peut-être été accédée par au moins une douzaine d’IPs.
Google Condamné Selon le RGPD
En France, Google a été condamné à une amende de 50 millions d’euros (57 millions de dollars, 44 millions de livres) conformément aux exigences réglementaires du RGPD. Cela s’est produit parce que l’entreprise n’a pas informé comment leurs données sont utilisées.
La CNIL, le régulateur français, a imposé l’amende après des plaintes de deux droits, noyb et La Quadrature du Net (LQDN).
La CNIL dit avoir constaté deux violations du Règlement Général sur la Protection des Données (RGPD).
Mises à jour de sécurité pour les bases de données
Oracle
https://nvd.nist.gov/vuln/detail/CVE-2019-2547https://nvd.nist.gov/vuln/detail/CVE-2019-2548
https://nvd.nist.gov/vuln/detail/CVE-2019-2549
https://nvd.nist.gov/vuln/detail/CVE-2019-2550
https://nvd.nist.gov/vuln/detail/CVE-2019-2552
https://nvd.nist.gov/vuln/detail/CVE-2019-2553
https://nvd.nist.gov/vuln/detail/CVE-2019-2554
https://nvd.nist.gov/vuln/detail/CVE-2019-2555
https://nvd.nist.gov/vuln/detail/CVE-2019-2545
https://nvd.nist.gov/vuln/detail/CVE-2019-2546
MS SQL Server
https://nvd.nist.gov/vuln/detail/CVE-2019-2529https://nvd.nist.gov/vuln/detail/CVE-2019-2537
https://nvd.nist.gov/vuln/detail/CVE-2017-18359
https://nvd.nist.gov/vuln/detail/CVE-2019-6799
MySQL
https://nvd.nist.gov/vuln/detail/CVE-2018-14704https://nvd.nist.gov/vuln/detail/CVE-2018-15719
https://nvd.nist.gov/vuln/detail/CVE-2018-17957
https://nvd.nist.gov/vuln/detail/CVE-2019-2420
https://nvd.nist.gov/vuln/detail/CVE-2019-2434
https://nvd.nist.gov/vuln/detail/CVE-2019-2435
https://nvd.nist.gov/vuln/detail/CVE-2019-2436
https://nvd.nist.gov/vuln/detail/CVE-2019-2455
https://nvd.nist.gov/vuln/detail/CVE-2019-2481
https://nvd.nist.gov/vuln/detail/CVE-2019-2482