Shopify rapporte que deux employés malhonnêtes ont volé des données à 200 marchands sur leur plate-forme. Un chercheur en sécurité a découvert qu’une vulnérabilité dans le programme Medium Partner aurait pu permettre à un attaquant de voler les revenus des écrivains. Symantec rapporte qu’un groupe de piratage financé par l’État s’est caché dans les réseaux d’entreprise dans le cadre d’une campagne de vol d’informations. Et Twitter rapporte qu’un bogue d’API a exposé des clés et des jetons d’application via un problème de mise en cache.

Voici les horodatages et les liens au cas où vous voudriez sauter, et une transcription est ci-dessous.
0:12 Shopify dit ‘Rogue’ Des employés ont volé des données à des marchands
1:15 Faille dans Programme de partenariat moyen autorisé les attaquants à voler les gains des écrivains
2:18 Les pirates ont dépensé mois à se cacher dans les réseaux d’entreprise non détecté
4:17 Twitter avertit les développeurs de Bogue de l’API qui a exposé les clés d’application, les jetons

Trouvez-nous sur votre application ou plateforme préférée, y compris iTunes, Podcasts Google, Spotify, Youtube, SoundCloud et Couvert.

Cliquez ici pour télécharger une version MP3 de ce podcast. Abonnez-vous à notre flux RSS.

Transcription de l’épisode 88

Scott Miller:
Bienvenue à nouveau, tout le monde. C’est Scott de Wordfence. Vous écoutez Think Like a Hacker, le podcast hebdomadaire sur WordPress, la sécurité et l’innovation. Jetons un coup d’œil aux histoires de cette semaine.

Dans notre première histoire de cette semaine, des employés malhonnêtes de Shopify auraient accédé et exposé les détails personnels des clients Shopify. Un rapport récent montre que l’incident s’est produit le 15 septembre lorsque les données personnelles des clients Shopify ont été volées et révélées. Les données exposées comprenaient des détails de commande, des adresses, des noms et des adresses e-mail et ont été volées par deux employés de plus de 100 marchands.

Les employés qui faisaient partie de l’équipe de support de Shopify auraient été impliqués dans un stratagème visant à obtenir ces informations, ce qui, selon Shopify, concernait moins de 200 vendeurs. Donc, maintenant Shopify travaille avec le FBI et d’autres agences après avoir mis fin à l’accès des deux employés à leurs systèmes. Shopify a également mentionné que, bien que les données des clients aient été exposées, y compris les détails de la commande, les adresses, les noms, les adresses e-mail, aucune information sensible, personnelle ou financière n’a été exposée dans l’incident.

Dans notre prochain article de cette semaine, une faille dans le programme de partenariat moyen a exposé les revenus des écrivains. Les pirates ont pu potentiellement voler les revenus d’engagement de Medium Writer en raison d’une vulnérabilité dans les cookies de session. Il s’agit d’un programme permettant à certains écrivains de gagner de l’argent chaque mois en écrivant et en publiant sur Medium. Et c’est basé sur le nombre de lecteurs et d’abonnés qui accèdent à leur travail.

Mohammad-Ali Bandzar a constaté que Medium intégrerait toute valeur de cookie d’ID utilisateur que vous avez transmise. Le fait que Medium n’ait pas validé la session de connexion de l’utilisateur signifiait que l’ID utilisateur soumis était aveuglément accepté et considéré comme correct. Bandzar a mentionné que cette faille était très facile à exploiter et que le montant d’argent que les attaquants auraient pu voler tout en étant potentiellement non détecté n’avait pas de plafond à l’époque. Bandzar a également reçu sa première prime de bug pour avoir trouvé ce problème et a été récompensé de 250 $.

Notre prochaine histoire jette un regard sur le groupe d’espionnage Palmerworm et comment ils sont restés non détectés dans les campagnes de vol d’informations. De nouveaux logiciels malveillants sont utilisés pour infiltrer des organisations aux États-Unis, au Japon, à Taiwan et en Chine, où le groupe connu sous le nom de Palmerworm a infiltré plusieurs organisations liées aux médias, à la finance et à l’ingénierie. Ce groupe se concentre sur le vol d’informations sur les entreprises et a récemment commencé à cibler également les entreprises basées aux États-Unis. Palmerworm, ou BlackTech, comme on les appelle parfois, ont pu ne pas être reconnus sur certains réseaux pendant un an ou plus tout en couvrant leurs traces et en rendant plus difficile pour les entreprises de suivre leurs pas. Il a été mentionné que les attaquants avaient déjà gagné l’entrée via des attaques par e-mail de spear phishing. Cependant, la manière dont l’accès a été obtenu lors de la dernière série d’attaques n’a pas été confirmée. Ainsi, le groupe existe depuis 2013 et a utilisé des outils de reconnaissance du réseau pour accéder et voler des informations.

Le groupe utilise ensuite des certificats de signature de code volés dans son logiciel malveillant pour ne plus être détecté. Ils utilisent ensuite des portes dérobées pour maintenir l’accès aux réseaux. La société de cybersécurité Symantec a identifié les victimes des attaques de Palmerworm, mais ne sait pas pour qui le groupe travaille. Il a été mentionné qu’il est probable que le groupe ne soit toujours pas détecté sur certains réseaux et qu’ils restent toujours une menace. Il est préférable que les organisations connaissent l’activité habituelle de leur serveur et à quoi il ressemble afin d’identifier les changements, qui peuvent être liés à une violation de leur sécurité. Ces types d’attaques impliquent généralement plusieurs événements et outils et peuvent montrer une activité sur une longue période, plutôt qu’un seul événement. Assurez-vous de surveiller régulièrement l’activité de votre serveur et de votre réseau pour mieux identifier les anomalies, qui peuvent être liées à une activité non autorisée.

Et notre dernière histoire pour cette semaine, Twitter met en garde contre un problème de mise en cache qui aurait pu conduire les développeurs à exposer des clés API et des jetons. Ainsi, le bogue était un problème de mise en cache affectant le site developer.twitter.com. Et cela aurait pu conduire à la divulgation d’informations d’identification et d’autres informations sensibles. Le site des développeurs est un hub pour les utilisateurs qui créent des applications pour Twitter.

Lors de la visite du site, des informations étaient temporairement stockées dans le cache du navigateur concernant l’application du développeur. L’attaque serait difficile à mener pour plusieurs raisons. Tout d’abord, un attaquant devrait utiliser un appareil juste après que le développeur a utilisé l’appareil. Et deuxièmement, ils auraient dû avoir accès au site developer.twitter.com et utiliser les informations sensibles qui auraient ensuite été stockées dans le cache du navigateur comme mentionné. En fonction des informations soumises par le développeur, un attaquant pourrait avoir accès aux clés d’API du développeur, au jeton d’accès utilisateur et au secret du compte développeur. Twitter a depuis résolu le problème du cache en modifiant ce qui peut être stocké concernant les informations sensibles.

Bien que les informations qui auraient pu être consultées soient critiques et sensibles pour les développeurs, Twitter a mentionné qu’il n’y avait aucune preuve que les clés de l’application développeur ont été compromises et qu’il est très peu probable que les informations d’identification de quiconque aient été compromises à leur insu. Twitter a mentionné dans sa déclaration: «Si vous avez utilisé un ordinateur partagé pour visiter developer.twitter.com avec un compte Twitter connecté, nous vous recommandons de régénérer vos clés et jetons d’application.» C’est tout pour cette semaine sur Think Like a Hacker. J’espère que les nouvelles ont trouvé votre bien, consultez wordfence.com pour notre blog et liste de diffusion pour rester à jour avec toutes les dernières nouvelles de sécurité. Jusqu’à la prochaine fois, j’espère que vous passez un excellent week-end et merci de votre écoute. Nous vous rattraperons bientôt.

Suis moi sur Twitter @wfscottmiller. Vous pouvez trouver Wordfence sur Twitter, Facebook, Instagram. Vous pouvez également nous trouver sur Youtube, où nous avons notre Wordfence Live hebdomadaire les mardis à midi Est, 9h00 du Pacifique.



Source link