Avec le site parodique Est-ce que la CNIL s’est bougée aujourd’hui ?

Macron's security guards record and publish their runs on the platform. But there's a problem: They are sharing geolocalized information publicly,

La fuite est encore incertaine, mais peut être réelle.

The cluster is hosted by a small French hosting company. This indicates that European data protection regulations (GDPR) should apply. European law requires explicit user consent for collecting and storing personal data.
The open Elasticsearch server, accessible to anyone without authorization, stood out due to a massive index with a mysterious name, “vip-v3.” It contained 95,350,331 documents from at least 17 data breaches and had a total size of 30.1GB.

Company involved in the leak (from the txt files):
Lycamobile, darty, Pandabuy, discord, dvm, electro dépôt, Bins & Bières, Snapchat, FRS, Go Sport, Intersport, LDLC, Corse GSM, Pinterest, Minecraft FR (forum), SFR, Shadow (cloud computing service).

It also shares data from sport 2000, Wakanim and Rinaorc (minecraft server, or service using the AuthMe plugin).

The Centers for Medicare & Medicaid Services (CMS) federal agency announced earlier this month that health and personal information of more than three million health plan beneficiaries was exposed in the MOVEit attacks Cl0p ransomware conducted last year.

Personally identifiable information are leaked.

La semaine dernière, plusieurs entreprises ont annoncé à tour de rôle avoir été victime d’une cyberattaque ayant entraîné le vol de de données personnelles : Boulanger, Cultura, DiviaMobilités, Truffaut, Cybertek et Grosbill ainsi que Assurance Retraite.

Dans un email envoyé ce week-end à certains clients (dont nous avons eu une copie), le loueur de voiture explique avoir « découvert le 5 août 2024 (heure de l’Est) qu’un tiers non autorisé avait accédé à l’une de nos applications professionnelles […] Sur la base de notre enquête, nous avons déterminé que l’accès non autorisé a eu lieu entre le 3 août 2024 et le 6 août 2024 (heure de l’Est) »

Vu que les fuites de données ne sont pas vraiment évitables, est-ce que ces sociétés vont moins collecter des données?
(via https://sebsauvage.net/links/?Qgk2LA)

Why big cloud providers are not so safe. A list of data leakage.

The records show that nothing is safe.

Devant l’ampleur de la violation, la présidente de la CNIL a décidé de mener très rapidement des investigations afin de déterminer notamment si les mesures de sécurité mises en œuvre préalablement à l’incident et en réaction à celui-ci étaient appropriées au regard des obligations du Règlement général sur la protection des données (RGPD).

Spoiler: non, car les données n'étaient même pas chiffrée.

#Backdoor
#Botnet
#Brute force
#Bug Bounty
#Chiffrement
#DDOS
#DarkWeb
FuiteDeDonnées (#DataLeak)
#Hacker
#Malware
#Pentest
#Phishing
#Rançongiciel
#Sextorsion
#SupplyChainAttack
#VPN
#Vulnérabilité

Comme le dit si bien sebsauvage

Oh tiens... pas mal non plus celle-là:
La ligue de football espagnole distribue une application pour téléphone.
Cette application a enregistré l'audio à l'insu des utilisateurs et l'a corrélé avec la position GPS pour repérer les bars qui diffusent les matchs sans avoir payé la licence.
Bouh que c'est laid.
Donc là on est dans le cas d'un intérêt privé qui a violé la vie privée des internautes et utilisé leur matériel à leur insu pour garantir ses bénéfices.
Narmol, quoi.

Conseil: Utilisez le moins d'application possible ! De temps en temps, faites le tour de vos applications et dé-installez celles que vous n'utilisez presque jamais.
ON NE PEUT PAS FAIRE CONFIANCE AUX DÉVELOPPEURS D'APPLICATIONS MOBILES, et surtout pas à Google pour nous protéger.