Cette semaine dans InfoSec – TalkTalk, sécurité à 2 $ et vol de carte sans contact
Dans une semaine dominée par le piratage TalkTalk, voici quelques nouvelles supplémentaires du Web sur… le piratage TalkTalk, ainsi qu'un rappel que la cybercriminalité peut souvent être un peu plus personnelle qu'un piratage aléatoire d'un site Web, et une histoire un peu plus édifiante à raconter. commencez bien votre semaine.
Le PDG de TalkTalk donne de mauvais conseils post-piratage
Comme beaucoup d'entre vous le savent sans doute, la société de télécommunications britannique Talk Talk a récemment été piratée pour la troisième fois cette année (à notre connaissance), créant une sorte de fureur alors que la presse réclame une « législation sur la cybersécurité » pour nous sauver tous de les méchants.
Mais que nous apporteront les nouvelles lois par rapport aux réglementations, garanties et bonnes pratiques existantes ?
Pas grand chose à mon avis.
Mais du côté positif, si un législateur entreprenant parvient à criminaliser les mauvais conseils donnés cette semaine par le PDG de Talk Talk, Dino Harding, cela pourrait être une petite victoire.
De quoi je parle ?
Eh bien, peu de temps après la violation, la baronne Harding de Winscombe est apparue sur la BBC pour informer les clients qu'ils pouvaient être assurés que tout e-mail qu'ils recevaient de l'entreprise était authentique grâce au fait qu'il contiendrait un lien (vous savez ce que nous disons à propos de en cliquant sur les liens dans les e-mails) et que l'en-tête contiendrait une adresse e-mail talktalk.co.uk.
Pour savoir pourquoi c'est une réponse risible, lire le blog de Graham Cluley et n'oubliez pas de regarder l'excellente vidéo contenue dans cet article.
Le PDG de TalkTalk affirme que sa sécurité est « de la tête et des épaules » supérieure à celle de la concurrence.
Poursuivant le thème TalkTalk, juste pour un instant, Dino Harding a été largement cité par un Article du gardien dimanche dans lequel elle a déclaré :
'Personne n'est parfait. Dieu sait, nous venons de démontrer que la sécurité de notre site Web n’était pas parfaite – je ne vais pas prétendre que c’est le cas – mais nous prenons cela incroyablement au sérieux.
Ignorant le commentaire boursier « prendre la sécurité au sérieux » émis par presque toutes les entreprises après un incident qui soulève la question decommentau sérieux, il prenait notre sécurité au sérieux, le conservateur à vie a poursuivi en répondant aux affirmations selon lesquelles il avait été averti au sujet de la sécurité de son site Web en septembre dernier en disant :
'Sur cette vulnérabilité spécifique, c'est bien mieux qu'avant et nous sommes meilleurs que certains de nos concurrents.'
Quelle que soit la véracité de ses commentaires, ne pensez-vous pas qu’il est plus qu’irresponsable de se vanter du fait que la sécurité de votre entreprise est meilleure que celle de la concurrence à la suite d’une attaque qui remet en question cette notion même ?
Pour être juste envers TalkTalk, des violations se produisent et aucune entreprise n’est à l’abri d’elles, mais on peut en apprendre beaucoup sur une entreprise grâce à la manière dont elle réagit à un incident.
Pour l’essentiel, TalkTalk a assez bien géré une situation de relations publiques délicate, mais des commentaires comme celui-ci peuvent rapidement annuler tout le bon travail.
Vol de carte sans contact
Changeant quelque peu de tactique, SC Magazine nous a rappelé cette semaine que tous les crimes ne sont pas aussi impersonnels qu'un piratage de site Web qui expose les informations personnelles de millions de clients.
En effet, certains crimes ciblent une seule personne à la fois.
Prenez, par exemple, le membre de l’équipe du magazine en ligne qui s’est vu retirer 20 £ de son compte lorsque quelqu’un est tombé dans sa poche.
La résultante article manque de réponses sur la façon dont la fraude a été commise, mais il pose certainement des questions intéressantes, même si une omission évidente est de savoir comment s'en protéger.
La réponse à cette question, je parie, résiderait dans l'un des ces (J’ai entendu dire qu’ils fonctionnaient plutôt bien avec les cartes Oyster).
Un entrepreneur de 11 ans vend des titres de sécurité pour 2 dollars pièce
Quand j'étais à l'école, de nombreux enfants cherchaient à compléter leur argent de poche en vendant des billes ou des autocollants de football, mais le temps a tout changé.
De nos jours, il y a des joueurs FIFA virtuels et des groupes de métiers à tisser – ou quel que soit le dernier engouement.
C’est donc agréable de voir quelqu’un essayer quelque chose de différent. Surtout lorsque le produit proposé est une sécurité renforcée.
Mira Modi, 11 ans, de New York, a lancé une entreprise vendant des phrases secrètes Diceware de six mots pour à peu près le même prix qu'une tasse de café.
Mais elle n’a pas encore gagné des millions, comme l’indique Ars Technica. rapports , elle pourrait bien être sur la voie d'une carrière riche et enrichissante dans un secteur qui non seulement a besoin de plus de monde, mais qui cherche également à encourager les filles à devenir les professionnelles de la sécurité de l'information de demain.