La banque américaine Capital One reconnait une faille de sécurité majeure, Réactions à la publication du 30/07/2019

[Lionel]

Capital One, banque américaine, a reconnu qu'une faille de sécurité a permis à des pirates d'accéder aux données de 100 millions de clients américains et 6 millions de canadiens.
La faille serait liée à une mauvaise configuration d'un firewall et aurait été activement exploitée entre le 22 et le 23 mars dernier.

A cette occasion, des centaines de milliers de numéros de sécurité sociale ont été dérobés ainsi que les comptes bancaires associés. C'est juste ce qu'il faut aux Etats-Unis pour réaliser des usurpations d'identité.

Lien vers le billet original

[iAPX]

...
A cette occasion, des centaines de milliers de numéros de sécurité sociale ont été dérobés ainsi que les comptes bancaires associés. C'est juste ce qu'il faut aux Etats-Unis pour réaliser des usurpations d'identité.

Une centaine de millier de Numéro de Sécurité Sociale US et un million pour ce qui concerne les Canadiens: l'impact potentiel est énorme ici.

Les données se trouvaient chez AWS, la hackeuse avait été sys admin pour AWS, et a effectivement profité d'une faille pour s'emparer de celles-ci.
Il y a là un problème potentiel pour AWS, mais aussi pour Capital One de stocker ces données non-chiffrées dans AWS.
Et pendant 4 mois les clients de Capital One n'en ont pas été informés, probablement car faute d'outils d'analyse ou de prévention des fuites, Capital One ne s'en était pas aperçu!

Pour ce qui concerne la hackeuse, elle a quasiment tout fait pour se faire identifier, en se vantant ouvertement y-compris au sein de communautés de hackers, c'est uniquement pour cela qu'on a appris les faits.

Ce message a été modifié par iAPX - 30 Jul 2019, 12:11.

[Ze Clubbeur]

Ce qui est fou, c'est qu'en 2019, des données sensibles puissent encore être stockées en clair dans des bases de données.
Un firewall, ça peut être forcé. Mais si derrière, les données sont cryptées, ça ne sert pas à grand chose de pirater un système dans l'espoir de récupérer des données...

Ce message a été modifié par Ze Clubbeur - 30 Jul 2019, 17:39.

[iAPX]

Ce qui est fou, c'est qu'en 2019, des données sensibles puissent encore être stockées en clair dans des bases de données.
Un firewall, ça peut être forcé. Mais si derrière, les données sont cryptées, ça ne sert pas à grand chose de pirater un système dans l'espoir de récupérer des données...

Vu leur sensibilité c'est évident.

Quand à passer un seul firewall et être le roi du monde après, ça démontre une approche totalement foireuse en terme de sécurité, "candy" (dur dehors, mou dedans), puisque chaque serveur doit aussi avoir son propre firewall avec ses règles précises, incluant des règles pour logger et pour les connexions sortantes, etc.
Bref elle n'aurait dû avoir accès à ces données que chiffrées fortement (et vu leur nature très fortement!), voir uniquement être dans la capacité que de déclencher des alertes au niveau des différents serveurs.

[danyaile]

Pour ce qui concerne la hackeuse, elle a quasiment tout fait pour se faire identifier, en se vantant ouvertement y-compris au sein de communautés de hackers, c'est uniquement pour cela qu'on a appris les faits.

Qu'on n'ait appris les faits que par l'inconséquence d'une piratesse en besoin éperdu de notoriété me laisse songeur.

[Cekter]

Ah ben c'est tout à fait réjouissant dites donc...

Et comme le souligne @danyaile, le fait qu'on ne le découvre que parce que la pirate s'en vante c'est encore pire.

[Ze Clubbeur]

Ce qui est fou, c'est qu'en 2019, des données sensibles puissent encore être stockées en clair dans des bases de données.
Un firewall, ça peut être forcé. Mais si derrière, les données sont cryptées, ça ne sert pas à grand chose de pirater un système dans l'espoir de récupérer des données...

Vu leur sensibilité c'est évident.

Quand à passer un seul firewall et être le roi du monde après, ça démontre une approche totalement foireuse en terme de sécurité, "candy" (dur dehors, mou dedans), puisque chaque serveur doit aussi avoir son propre firewall avec ses règles précises, incluant des règles pour logger et pour les connexions sortantes, etc.
Bref elle n'aurait dû avoir accès à ces données que chiffrées fortement (et vu leur nature très fortement!), voir uniquement être dans la capacité que de déclencher des alertes au niveau des différents serveurs.

On est d'accord.

[Pixelux]

Ah ben c'est tout à fait réjouissant dites donc...

Et comme le souligne @danyaile, le fait qu'on ne le découvre que parce que la pirate s'en vante c'est encore pire.

Le cas détectés ne sont que la pointe de l'iceberg.

Eu et gars à ce dossier l'homme et la femme moyenne dans nos société respective sont à peu du niveau d'un enfant de deux ans.

Notre situation dans ce dossier est particulièrement horrible.

C'est pathétique.

Ce message a été modifié par Pixelux - 31 Jul 2019, 12:07.

[brenda]

histoire vécue :
j'ai à la maison ma tente qui vient de Dallas, elle a une CB Visa internationale depuis vendredi dernier, première utilisation : lundi après midi à l'aéroport de Dallas dans une boutique de l'aéroport afin de vérifier le fonctionnement de la carte.
hier après soir elle a voulu utiliser sa CB en France : rejet
explication donnée par sa banque ce midi : ils ont cru à un faux, parce que dans la nuit de lundi à mardi, et mardi matin la carte a été utilisée depuis l'Indiana pour passer des commandes en ligne ...
*

le piratage de CB semble aller très vite aux USA !!!

[iAPX]

histoire vécue :
j'ai à la maison ma tente qui vient de Dallas, elle a une CB Visa internationale depuis vendredi dernier, première utilisation : lundi après midi à l'aéroport de Dallas dans une boutique de l'aéroport afin de vérifier le fonctionnement de la carte.
hier après soir elle a voulu utiliser sa CB en France : rejet
explication donnée par sa banque ce midi : ils ont cru à un faux, parce que dans la nuit de lundi à mardi, et mardi matin la carte a été utilisée depuis l'Indiana pour passer des commandes en ligne ...
*

le piratage de CB semble aller très vite aux USA !!!

Oui, la plupart des banques proposent aux clients d'appeler pour signaler un voyage et/ou offrir un formulaire sur leur site, peuvent aussi contacter le client pour des paiements louches, etc.

C'est pour ça que je préviens ma banque avant chaque voyage à l'étranger, pour éviter d'avoir ma carte bloquée comme cela m'est déjà arrivé au début de 2 semaines de vacances en Europe.

[brenda]

histoire vécue :
j'ai à la maison ma tente qui vient de Dallas, elle a une CB Visa internationale depuis vendredi dernier, première utilisation : lundi après midi à l'aéroport de Dallas dans une boutique de l'aéroport afin de vérifier le fonctionnement de la carte.
hier après soir elle a voulu utiliser sa CB en France : rejet
explication donnée par sa banque ce midi : ils ont cru à un faux, parce que dans la nuit de lundi à mardi, et mardi matin la carte a été utilisée depuis l'Indiana pour passer des commandes en ligne ...
*

le piratage de CB semble aller très vite aux USA !!!

Oui, la plupart des banques proposent aux clients d'appeler pour signaler un voyage et/ou offrir un formulaire sur leur site, peuvent aussi contacter le client pour des paiements louches, etc.

C'est pour ça que je préviens ma banque avant chaque voyage à l'étranger, pour éviter d'avoir ma carte bloquée comme cela m'est déjà arrivé au début de 2 semaines de vacances en Europe.

mais UNE utilisation sur le territoire américain 3 jours après l'activation et déjà piratée !!!
parce que dans la nuit de lundi à mardi elle était dans l'avion, pas dans l'Indiana en train de commander de la nourriture à livrer, ainsi que d'autres objets en ligne !!!

[iAPX]

(...)
mais UNE utilisation sur le territoire américain 3 jours après l'activation et déjà piratée !!!
parce que dans la nuit de lundi à mardi elle était dans l'avion, pas dans l'Indiana en train de commander de la nourriture à livrer, ainsi que d'autres objets en ligne !!!

Oui j'avais mal compris l'histoire en lisant en diagonal

Ça peut arriver mais là c'est vraiment une malchance énorme!

En parlant de malchance on a été tous les deux touchés par le Leak de Desjardins, et mon chum est touché par celle de Capital One, on vient juste de recevoir le courrier
Il faut des lois pour protéger les citoyens et sociétés contre cela, et notamment des sanctions très dures pour ceux qui osent demander et stocker des informations personnelles et se les voir voler.

Comme d'autres l'ont écrit précédemment, ça n'est probablement que la pointe de l'iceberg.

Ce message a été modifié par iAPX - 31 Jul 2019, 20:26.