Piratage d’Equifax : jusqu’à 143 millions de victimes, des données très sensibles dérobées. C’est un exemple, l’un des meilleurs à ce jour avec Yahoo, que les données ne sont pas comme l’or noir mais comme de l’uranium : en posséder beaucoup est très dangereux. Ca pourrait s’arrêter là, mais Equifax incarne en plus ce qu’il y a de plus moche dans les grosses boites. Ainsi, ils ont mis en place un truc intéressant : en vérifiant si vos données personnelles ont été fuitées par Equifax, vous acceptez de ne pas poursuivre l’entreprise en justice (Equifax a depuis fait marche arrière sur ce sujet, devant le scandale médiatique que cela générait). Cerise sur le gâteau, la firme a tardé à révéler l’information aux personnes concernées, et pendant ce temps là des cadres dirigeants vendaient leurs actions, tout en niant qu’il puisse s’agir de délit d’initié. Il y a des torgnoles qui se perdent !
Le scandale ne s’arrête pas là, puisqu’en creusant un peu, on constate que :
- Equifax a tenté de faire supprimer une loi qui permettait aux victimes de fuites de données de se défendre en justice. Une bien belle leçon de cynisme d’entreprise.
- Equifax reporte la faute sur Apache Struts, logiciel qu’ils utilisent et qui a effectivement une faille de sécurité… corrigée depuis début mars 2017. Autrement dit, en tardant à appliquer les correctifs sur son système, Equifax a fait preuve de négligence, mais ils préfèrent accuser les développeurs de logiciels libres.
J’encourage les anglophones à lire le billet de l’excellent Bruce Schneier, On the Equifax Data Breach.
Mise à jour : Nouvelle faille de sécurité chez Equifax Brésil, qui permet de se connecter sur sa base de données en utilisant simplement “admin/admin” (via Fabian Rodes).
Nouvelle mise à jour : le directeur informatique (CIO) et le directeur de la sécurité informatique (CSO) ‘partent en retraite’. O_o
2 réactions
1 De https://cryptohow.net/ - 19/09/2017, 14:51
Une bien belle entreprise encore ...
2 De \0/ - 04/10/2017, 18:27
Dans le même genre de comportement "très éthique", voir la société cxxxxxk et sa base cliente mise à nu sur le Net. (Sa spécialité : vendre en one-shot de sites internet à des TPE, en leasing sur 48 ou 60 mois, tout en se faisant passer pour une agence web déontologique.)
Selon des infos de marredecxxxxxk, son "fichiersclients" aurait été accédé/hijacké puis laissé ouvert : le site fichiersclients.ndd-de-la-societe.com était accessible sur la toile mondialement large, et sans HTTPS en plus ! !
On y trouvait des centaines ou milliers de dossier avec un nom imbibable, sans doute le numéro identifiant du "partenaire" (c'est pas ce mot que le groupe etik appelle ses clients, bien que la Justice ait estimé le 10/11/2015 que leur relation commerciale serait plutôt qualifiable de co-contractant). L'attaquant serait un "mr.dexter.305" (source zone-h.org)
Cela a duré du 23 juillet 2017 à début septembre. Mais à ce jour, aucune excuse de la Direction, sans doute occupée dans des sijets comme guilbimmo, jcv lnvest, espace saint andré, guilbert-vasseur, rozali investissement...
Deplus, le même site zone-h.org, via archive.is/ec/li/fo donne des indications de conséquences plus larges : des sites de Imn*l*s ou E*s*-Net auraient là aussi été hacké. Ces deux firmes furent rachetées par la multinationale C*M*TlK dont on parle ici.
Et quand on fouille zone h org, on trouve que près de CINQUANTE NDD de c******k ont été hacké un jour ou l'autres, y compris pour leur fililale W*yb*x pourtant spécialisé en sauvegade sécurisée !!
(mon lien sur mon pseudo mène à une archive de brouillon d'article wikipedia, ebauche manifestement non finalisee mais pourtant blindee d'infos)