Encore des millions d'informations de cartes de crédit vendues en ligne, Réactions à la publication du 01/04/2019

[Lionel]

KrebsOnSecurity rapporte que des fichiers contenant des millions de données concernant des cartes de crédit valides sont en vente en ligne. Ils contiennent numéros de cartes, dates d'expiration et identité des propriétaires.
Ces informations ont été obtenues entre mai 2018 et mars 2019, période pendant laquelle des malwares ont sévi sur les serveurs de paiement de restaurants américains de chaînes appartenant au groupe Planet Hollywood.
Au total cela concernait 2,15 millions de cartes de crédit.

Ces vols deviennent de plus en plus fréquents et il sera difficile d'y mettre fin tant les pirates sont maintenant nombreux et de plus en plus enclins à tester systématiquement tous les serveurs d'entreprise pour y trouver la moindre faille susceptible d'agir.

Lien vers le billet original

[brenda]

Cicéron a dit quelque chose qui ressemble à "On fait obéir le citoyen par des amendes et des coups de fouet"
Il suffit de remplacer "citoyen" par "représentant légal d'une entreprise s'étant fait piquer des données" et que la sanction du fouet soit diffusée sur YT et les vols devraient diminuer

PS : pas d'émoticon "je suis dehors" sous la main, désolé ...

[jt_69.V]

Ces vols deviennent de plus en plus fréquents et il sera difficile d'y mettre fin tant les pirates sont maintenant nombreux et de plus en plus enclins à tester systématiquement tous les serveurs d'entreprise pour y trouver la moindre faille susceptible d'agir.

Ok mais 10 mois pour s'apercevoir qu'on a été piraté c'est normal ?

[VSD]

Faut bien leurs (pirates) laisser le temps de profiter de cette manne offerte !

[Cekter]

boarf !

Ce message a été modifié par Cekter - 1 Apr 2019, 08:38.

[mirmidon]

Ces vols deviennent de plus en plus fréquents et il sera difficile d'y mettre fin tant les pirates sont maintenant nombreux et de plus en plus enclins à tester systématiquement tous les serveurs d'entreprise pour y trouver la moindre faille susceptible d'agir.

Ok mais 10 mois pour s'apercevoir qu'on a été piraté c'est normal ?

C'est plus probablement 10 mois pour rendre la nouvelle publique, ce qui est différent (et bien pire).

Ce message a été modifié par mirmidon - 1 Apr 2019, 09:23.

[FFred_40]

Poisson d'Avril?

[labon]

Ah ! Pas bête. Poisson d’avril ???
Mais c’est tellement crédible.

[Cecondix]

La sécurité en informatique est un leurre aujourd'hui et le restera demain.

[iAPX]

Comme d'hab.

De toute façon traiter soit-même les informations de paiement nécessite un très gros savoir-faire en terme de Sécurité et surtout d'Architectures Sécurisées, mais en Amérique du Nord il est courant que des grandes chaînes mettent en place leur propre intermédiaire de paiement capturant les infos pour se simplifier l'existence, sans intégrer les risques dans l'équation, l'appât du gain immédiat étant le plus fort.

Tant qu'on ne fera pas payer (et cher) pour les pertes de données personnelles et privées, ainsi que pour celles de moyens de paiement, ce genre de problème ne fera que croître avec un coût collectif qui deviendra rapidement inacceptable.

[kenzo05000]

En gros ?
Le liquide, le cash, la flouse, les pépettes .....
Il n'y a que ça de vrai.
Et suivant les magasins on arrive a obtenir une petite remise, où un grand sourire, c'est déjà pas mal.

[No6]

Cicéron a dit quelque chose qui ressemble à "On fait obéir le citoyen par des amendes et des coups de fouet"
Il suffit de remplacer "citoyen" par "représentant légal d'une entreprise s'étant fait piquer des données" et que la sanction du fouet soit diffusée sur YT et les vols devraient diminuer

et pour les voleurs, aucune sanction ?

La sécurité en informatique est un leurre aujourd'hui et le restera demain.

100% d'accord

Ok mais 10 mois pour s'apercevoir qu'on a été piraté c'est normal ?

ben, c'est déjà ça.
D'autres serveurs sur la planète sont sans doute déjà piratés depuis plusieurs années, mais le pirate ne vends pas les données et "s’alimente" dessus de façon discrète, genre mêlés à de petits frais dont l'utilisateur à l'habitude de faire, et ce sur des milliers de comptes.

Ce message a été modifié par No6 - 1 Apr 2019, 18:25.

[iAPX]

...

Ok mais 10 mois pour s'apercevoir qu'on a été piraté c'est normal ?

ben, c'est déjà ça.
D'autres serveurs sur la planète sont sans doute déjà piratés depuis plusieurs années, mais le pirate ne vends pas les données et "s’alimente" dessus de façon discrète, genre mêlés à de petits frais dont l'utilisateur à l'habitude de faire, et ce sur des milliers de comptes.

Ils ne l'ont appris qu'à cause de la vente du fichier, les équipes internes ne l'ayant pas détecté (ce qui arrive plus souvent qu'on ne le pense).
Il faut avoir des mécanismes de défense et surtout d'alerte in-depth, pour aller plus loin que protéger l'accès mais aussi avoir des pièges tendus une fois à l'intérieur (je travaille sur le quand pas sur le si) et vers la sortie (extraction de données).

Et plus loin que cela, avoir des données uniques parfaitement identifiables (incluant de faux comptes dont certains avec un mot-de-passe facilement cassable, mais sans droits), pour identifier des leak et pouvoir les valider, et aussi valider leur exploitation si quelqu'un s'attaque à un de ces faux-comptes (adresse email inconnue donc les données ont leaké).
Ça n'est pas un rempart mais la possibilité de valider un leak par des recherches google sur ces fausses adresses email, si ça apparait dans un fichier public, ou lorsque quelqu'un prétend avoir vos données, et aussi d'être prévenu sur des tentatives d'exploitation (avec dans ce cas un Reset de tous les passes et une campagne d'email pour chacun de nos utilisateurs).

Pour le paiement c'est plus complexe, mais les mêmes points peuvent être utilisés, incluant des cartes réelles servant d'alerte si utilisée où que ça soit.
En revanche dans ce cas, il n'est évidemment pas possible d'annuler les cartes ou de changer leur CVV/CVV2, il faut pouvoir communiquer au plus vite avec son processeur de paiement pour qu'il relaye l'informations aux sociétés émettrices pour qu'elles annulent les cartes et contactent leurs clients.

[Fafnir]

un nouveau mot-valise:
https://www.leprogres.fr/france-monde/2019/...etes-un-smombie

[gerard71]

il y a pas juste les cartes de credit , il y a les serveur de paiement en ligne , l'autre jour j'ai acheter quelque chose a Canada Computers en ligne avec une carte de credit que je me sert pratiquement jamais est pas récemment , il on réussit a savoir quel carte de credit j'ai utilisé , est m'envoyer un faux courriel de capital one pour me dire que ma carte avait été bloqué est m' invitant a me connecter a mon compte capital one , pas de bol il on utilisé une adresse courriel que je me sert plus depuis longtemps , et une carte de credit qui ne sert pratiquement pas , mais il on eu vite fait cela a pris 5 mn après le paiement en ligne pour recevoir le courriel


Ce message a été modifié par gerard71 - 1 Apr 2019, 21:27.

[LordJohnWhorfin]

il y a pas juste les cartes de credit , il y a les serveur de paiement en ligne , l'autre jour j'ai acheter quelque chose a Canada Computers en ligne avec une carte de credit que je me sert pratiquement jamais est pas récemment , il on réussit a savoir quel carte de credit j'ai utilisé , est m'envoyer un faux courriel de capital one pour me dire que ma carte avait été bloqué est m' invitant a me connecter a mon compte capital one , pas de bol il on utilisé une adresse courriel que je me sert plus depuis longtemps , et une carte de credit qui ne sert pratiquement pas , mais il on eu vite fait cela a pris 5 mn après le paiement en ligne pour recevoir le courriel

T'avais acheté un Bescherelle? Ils ont pas dû l'envoyer.

[iAPX]

il y a pas juste les cartes de credit , il y a les serveur de paiement en ligne , l'autre jour j'ai acheter quelque chose a Canada Computers en ligne avec une carte de credit que je me sert pratiquement jamais est pas récemment , il on réussit a savoir quel carte de credit j'ai utilisé , est m'envoyer un faux courriel de capital one pour me dire que ma carte avait été bloqué est m' invitant a me connecter a mon compte capital one , pas de bol il on utilisé une adresse courriel que je me sert plus depuis longtemps , et une carte de credit qui ne sert pratiquement pas , mais il on eu vite fait cela a pris 5 mn après le paiement en ligne pour recevoir le courriel

T'avais acheté un Bescherelle? Ils ont pas dû l'envoyer.

Ô comme il est facile d'être méprisant voir insultant, depuis ton super-pouvoir, ta maîtrise de la langue, et pouvoir ainsi gratuitement rabaisser les autres, sans cause ni raison.
Que se cache-t'il derrière cette agressivité gratuite à l'encontre de quelqu'un ne t'ayant rien fait, ni dit; quel complexe te torture-t'il pour vouloir écraser l'autre, cet autre qui se contente de s'exprimer et ainsi exister?

Ta vilenie porte en elle-même la marque de ta blessure, mais ton ire ne serait-elle pas mieux orientée vers ceux qui te l'ont infligé que contre un vulgus quidam qui n'en est rien responsable ni surtout coupable?

Ce message a été modifié par iAPX - 1 Apr 2019, 23:24.

[gerard71]

il y a pas juste les cartes de credit , il y a les serveur de paiement en ligne , l'autre jour j'ai acheter quelque chose a Canada Computers en ligne avec une carte de credit que je me sert pratiquement jamais est pas récemment , il on réussit a savoir quel carte de credit j'ai utilisé , est m'envoyer un faux courriel de capital one pour me dire que ma carte avait été bloqué est m' invitant a me connecter a mon compte capital one , pas de bol il on utilisé une adresse courriel que je me sert plus depuis longtemps , et une carte de credit qui ne sert pratiquement pas , mais il on eu vite fait cela a pris 5 mn après le paiement en ligne pour recevoir le courriel

T'avais acheté un Bescherelle? Ils ont pas dû l'envoyer.

Ô comme il est facile d'être méprisant voir insultant, depuis ton super-pouvoir, ta maîtrise de la langue, et pouvoir ainsi gratuitement rabaisser les autres, sans cause ni raison.
Que se cache-t'il derrière cette agressivité gratuite à l'encontre de quelqu'un ne t'ayant rien fait, ni dit; quel complexe te torture-t'il pour vouloir écraser l'autre, cet autre qui se contente de s'exprimer et ainsi exister?

Ta vilenie porte en elle-même la marque de ta blessure, mais ton ire ne serait-elle pas mieux orientée vers ceux qui te l'ont infligé que contre un vulgus quidam qui n'en est rien responsable ni surtout coupable?

pas grave c’est vrai que j’avait écrit vite , si mon homologue français a juste cela a faire de corriger les fautes d’ orthographe je m’en crisse ( je parle presque comme un vrai québécois !! Maudit hahaha) enfin bref on a compris ce que je voulais dire il faut toujours ce méfier , les voleurs sont de plus en plus rapide et peuve se cacher partout

Ce message a été modifié par gerard71 - 2 Apr 2019, 00:52.

[LordJohnWhorfin]

il y a pas juste les cartes de credit , il y a les serveur de paiement en ligne , l'autre jour j'ai acheter quelque chose a Canada Computers en ligne avec une carte de credit que je me sert pratiquement jamais est pas récemment , il on réussit a savoir quel carte de credit j'ai utilisé , est m'envoyer un faux courriel de capital one pour me dire que ma carte avait été bloqué est m' invitant a me connecter a mon compte capital one , pas de bol il on utilisé une adresse courriel que je me sert plus depuis longtemps , et une carte de credit qui ne sert pratiquement pas , mais il on eu vite fait cela a pris 5 mn après le paiement en ligne pour recevoir le courriel

T'avais acheté un Bescherelle? Ils ont pas dû l'envoyer.

Ô comme il est facile d'être méprisant voir insultant, depuis ton super-pouvoir, ta maîtrise de la langue, et pouvoir ainsi gratuitement rabaisser les autres, sans cause ni raison.
Que se cache-t'il derrière cette agressivité gratuite à l'encontre de quelqu'un ne t'ayant rien fait, ni dit; quel complexe te torture-t'il pour vouloir écraser l'autre, cet autre qui se contente de s'exprimer et ainsi exister?

Ta vilenie porte en elle-même la marque de ta blessure, mais ton ire ne serait-elle pas mieux orientée vers ceux qui te l'ont infligé que contre un vulgus quidam qui n'en est rien responsable ni surtout coupable?

pas grave c’est vrai que j’avait écrit vite , si mon homologue français a juste cela a faire de corriger les fautes d’ orthographe je m’en crisse ( je parle presque comme un vrai québécois !! Maudit hahaha) enfin bref on a compris ce que je voulais dire il faut toujours ce méfier , les voleurs sont de plus en plus rapide et peuve se cacher partout

Ah bon ben parce que là si en plus maintenant tu fais attention... C'est pas mieux. Non mais c'est bien gentil de vouloir parler français, mais si c'est pour le massacrer c'est peut-être pas la peine.

Et un petit cadeau pour iAPX, allez, sans rancune: http://alphaetomega.over-blog.com/article-...o-43178206.html

[No6]

@LordJohnWhorfin, et d'autres...
– essayez vous à la bienveillance plutôt qu'à la calomnie.
question d' hygiène mentale, aussi bien pour vous que pour l'ensemble des lecteurs.

[mazelle jeanne]

Il ne s’agit pas de calomnie (je rappelle que ça signifie accuser quelqu’un à tort).
Je crois que beaucoup ici ne se rendent pas compte à quel point c’est désagréable de lire des messages truffés de fautes, on hésite souvent à le faire remarquer car alors on se fait allumer mais il ne s’agit aucunement d’humilier la personne (juste de l’encourager à utiliser par exemple un correcteur d’orthographe).

[No6]

Je connais un gosse de 9 ans qui a fréquenté ce forum, son orthographe n'est pas fameuse, et on le lui à bien fait savoir. Vous n’êtes pas près de le revoir sur macbidouille....

Ce message a été modifié par No6 - 6 Apr 2019, 22:49.

[Lafaboune]

Ah, bon, ben, parce que là, si en plus, maintenant, tu fais attention… C'est pas mieux. Non, mais c'est bien gentil de vouloir parler français,
mais si c'est pour le massacrer, c'est peut-être pas la peine.

Et toi, la ponctuation, tu connais ? C'est aussi fatigant à lire qu'une mauvaise orthographe.