Blog

Cette semaine dans InfoSec – fuites, paresse, escroqueries et confidentialité

L'actualité de la semaine dernière a continué d'être dominée par la violation de TalkTalk, ou du moins par ses conséquences, comme l'a détaillé Thomas Langford . Même si nous avons appris que deux adolescents avaient été arrêtés en vertu de la loi sur l’utilisation abusive des ordinateurs, ce sont les actions du PDG Dino Harding qui ont continué à attirer l’attention.



Au-delà de cela, les flux RSS et les réseaux sociaux regorgeaient d’autres histoires tout aussi importantes et dignes d’une conversation, dont ma sélection est résumée ci-dessous :

Fuite de gaz britannique



1. British Gas demande l'aide de ses clients pour colmater la fuite

Étant donné tout le plaisir et les jeux de TalkTalk, et le problème informatique de MS , J'ai trouvé assez significatif que nous ayons également constaté des problèmes chez British Gas la semaine dernière. Espérons que les mauvaises nouvelles auront fait beaucoup pour réveiller un public britannique qui, à mon avis, est encore trop inconscient des dangers possibles qui suivent la publication de ses données personnelles en ligne.

À la suite d’une fuite totalement différente de celle qu’elle est habituellement appelée à réparer, la société de services publics a envoyé un courrier électronique à environ 2 200 de ses clients, leur demandant de modifier leur mot de passe.



Cette communication était nécessaire après que l'entreprise a appris que les détails du compte avaient été publiés sur Pastebin, un site qui est souvent utilisé comme référentiel de données piratées.

Dans ce cas, les noms, adresses et détails de leurs factures précédentes sont tombés dans le domaine public – mais l’origine de ces données n’est pas aussi claire.

British Gas elle-même a déclaré que ses systèmes n'avaient pas été piratés et que, de toute façon, les données personnelles qu'elle stockait étaient cryptées.

Comme l’hypothèse de Tripwire David Bisson , l'origine réelle des données pourrait avoir été une autre attaque ailleurs qui aurait ensuite donné à un attaquant une liste de mots de passe à utiliser sur le site de British Gas (ai-je mentionné comment vous devriez n'utilisez jamais deux fois le même mot de passe ?), ou cela aurait pu être le résultat d'identifiants de connexion hameçonnés auprès des victimes une par une.

2. Éviter la paresse des mots de passe

En parlant de mots de passe, Robert le Sicilien , a écrit cette semaine un article d'actualité dans lequel il a réitéré l'importance de rendre tous vos mots de passe aussi forts et sécurisés que possible.

Au-delà de quelques astuces telles que mélanger les chiffres, les lettres et les caractères, ainsi que d'éviter les mots de passe trop courts, Robert a également souligné l'importance d'utiliser des identifiants de connexion différents pour chaque compte en ligne que vous possédez.

Son conseil pour les mémoriser tous, avec lequel je suis tout à fait d’accord, est d’utiliser un gestionnaire de mots de passe.

Robert recommande le gestionnaire de mots de passe de Roboform que je ne connais pas… encore.

Je recommanderais KeePass moi-même, mais c’est peut-être simplement parce que j’ai récemment écrit un article détaillé expliquant comment l’installer et l’utiliser.

3. Médias sociaux et cyber-escroqueries ; un mariage fait au paradis

Alors que nous parlons de vous protéger, un article de Secure360.org explique comment les utilisateurs doivent être conscients de la manière dont les médias sociaux peuvent être utilisés pour commettre des escroqueries contre des victimes sans méfiance.

L'article répertorie les ruses classiques utilisées pour inciter les gens à répondre à des enquêtes, à installer sans le savoir des logiciels malveillants sur leur système, à divulguer des informations personnelles, à accepter encore plus de spam ou simplement à perdre leur temps, via les classiques des médias sociaux suivants :

  • « Voir qui a consulté votre profil »
  • Bouton « Je n'aime pas » de Facebook
  • Fausses nouvelles de célébrités
  • « Votre compte a été annulé » ou « confirmez votre email »
  • La fausse demande d'ami ou de follower

Pour en savoir plus, ou pour lire les conseils pour vous protéger de telles arnaques, Cliquez ici (c'est bon, nos liens sont sécurisés !).

4. WTApp faites-vous avec mes données ?

Le service de messagerie populaire WhatsApp a récemment introduit une nouvelle fonctionnalité d'appel, mais un examen médico-légal détaillé a révélé qu'il pourrait collecter beaucoup plus de données que vous ne le pensez.

Une étude menée par le Cyber ​​Forensics Research & Education Group de l’Université de New Haven révèle comment l’application collecte des données, notamment les numéros de téléphone appelés, la durée de tous les appels, et bien plus encore.

Révélant comment la quantité de données capturées nécessitait une étude plus approfondie, AideNetSecurity souligne heureusement à quel point l'accès aux données du réseau n'est pas particulièrement simple en raison d'un niveau de cryptage qui nécessite que l'appareil et l'intégralité du trafic réseau soient mis à la disposition de l'examinateur.

Phew!

^