Étiquette : vulnerability (Page 1 of 31)

“Google has yanked dozens of apps from its Google Play store after determining that they include a software element that surreptitiously harvests data.The Panamanian company that wrote the code, Measurement Systems S. de R.L., is linked through corporate records and web registrations to a Virginia defense contractor that does cyberintelligence, network-defense and intelligence-intercept work for U.S. national-security agencies.The code ran on millions of Android devices and has been found inside several Muslim prayer apps that have been downloaded more than 10 million times, as well as a highway-speed-trap detection app, a QR-code reading app and a number of other popular consumer apps, according to two researchers who discovered the behavior of the code in the course of auditing work they do searching for vulnerabilities in Android apps. They shared their findings with Google, a unit of Alphabet Inc., federal privacy regulators and The Wall Street Journal.”

Source : Google Bans Apps With Hidden Data-Harvesting Software – WSJ

“Apple and Meta provided basic subscriber details, such as a customer’s address, phone number and IP address, in mid-2021 in response to the forged “emergency data requests.” Normally, such requests are only provided with a search warrant or subpoena signed by a judge, according to the people. However, the emergency requests don’t require a court order.[…] Apple and Meta both publish data on their compliance with emergency data requests. From July to December 2020, Apple received 1,162 emergency requests from 29 countries. According to its report, Apple provided data in response to 93% of those requests. Meta said it received 21,700 emergency requests from January to June 2021 globally and provided some data in response to 77% of the requests.”

Source : Apple, Meta Gave User Data to Hackers With Forged Legal Requests (AAPL, FB) – Bloomberg

« L’étonnant profil du groupe cybercriminel LAPSUS$ »

LAPSUS$

“Bien qu’apparu récemment, LAPSUS$ était devenu l’un des gangs de cybercriminels les plus discutés et les plus redoutés, après avoir réussi à pirater de grandes entreprises comme Microsoft et NVIDIA, puis s’en être vanté en ligne. Le père du garçon a déclaré à la BBC : « Je n’avais jamais entendu parler de tout cela jusqu’à récemment. Il n’a jamais parlé de piratage, mais il est très bon en informatique et passe beaucoup de temps sur l’ordinateur. J’ai toujours pensé qu’il jouait à des jeux. » L’identité de celui qui se faisait appeler « White », ou «breachbase », avait été dévoilée – ou « doxxée » – sur un site Web de pirates informatiques, après une dispute apparente avec des partenaires commerciaux, qui avaient révélé son nom, son adresse et ses photos sur les réseaux sociaux. Apparu pour la première fois en décembre 2021 avec une demande de rançon faite au ministère brésilien de la Santé, LAPSUS$ avait depuis fait la une des journaux pour avoir publié des captures d’écran d’outils internes liés à un certain nombre de grandes entreprises, dont NVIDIA, Samsung et Vodafone, rappelle KrebsOnSecurity.”

Source : L’étonnant profil du groupe cybercriminel LAPSUS$

Android password-stealing malware infects 100,000 Google Play users

App requesting the user to login on Facebook

“A malicious Android app that steals Facebook credentials has been installed over 100,000 times via the Google Play Store, with the app still available to download. The Android malware is disguised as a cartoonifier app called ‘Craftsart Cartoon Photo Tools,’ allowing users to upload an image and convert it into a cartoon rendering. Over the past week, security researchers and mobile security firm Pradeo discovered that the Android app includes a trojan called ‘FaceStealer,’ which displays a Facebook login screen that requires users to log in before using the app. ”

Source : Android password-stealing malware infects 100,000 Google Play users

Lapsus$ hackers leak 37GB of Microsoft’s alleged source code

Leaked source code projects

“The Lapsus$ hacking group claims to have leaked the source code for Bing, Cortana, and other projects stolen from Microsoft’s internal Azure DevOps server.Early Sunday morning, the Lapsus$ gang posted a screenshot to their Telegram channel indicating that they hacked Microsoft’s Azure DevOps server containing source code for Bing, Cortana, and various other internal projects.”

Source : Lapsus$ hackers leak 37GB of Microsoft’s alleged source code

The U.S. warns companies to stay on guard for possible Russian cyberattacks

“The White House is warning companies that Russia could be planning to launch cyberattacks against critical U.S. infrastructure. The U.S. has previously warned about the Russian government’s capabilities to digitally attack U.S. companies, but President Biden reiterated the message on Monday, saying in a statement that « evolving intelligence » showed Russia is « exploring options for potential cyberattacks. »”

Source : The U.S. warns companies to stay on guard for possible Russian cyberattacks : NPR

“The Mandiant brand is synonymous with unmatched insights for organizations seeking to keep themselves secure in a constantly changing environment,” said Thomas Kurian, CEO, Google Cloud. “This is an opportunity to deliver an end-to-end security operations suite and extend one of the best consulting organizations in the world. Together we can make a profound impact in securing the cloud, accelerating the adoption of cloud computing, and ultimately make the world safer.”

Source : Google to Acquire Mandiant | Mandiant

« The facial recognition company Clearview AI is telling investors it is on track to have 100 billion facial photos in its database within a year, enough to ensure “almost everyone in the world will be identifiable,” according to a financial presentation from December obtained by The Washington Post.

And the company wants to expand beyond scanning faces for the police, saying in the presentation that it could monitor “gig economy” workers and is researching a number of new technologies that could identify someone based on how they walk, detect their location from a photo or scan their fingerprints from afar ».

Source : Clearview AI predicts 100 billion photos will give it worldwide facial recognition ability – The Washington Post

La compagnie G7 met à l’arrêt ses taxis électriques Model 3 de Tesla après un accident mortel survenu samedi à Paris

Le constructeur automobile Tesla n’a pas souhaité faire de commentaire au sujet de cet accident.

“Après un grave accident survenu samedi, à Paris, d’un taxi électrique Tesla Model 3 – une des voitures électriques les plus vendues en Europe – qui n’était pas en service, la compagnie de taxis parisiens G7 a mis à l’arrêt, mardi 14 septembre, les quelques voitures du même modèle de sa flotte, le temps de la conclusion de l’enquête. Cette décision a été prise par précaution, les raisons de l’accident n’étant pas encore connues.”

Source : La compagnie G7 met à l’arrêt ses taxis électriques Model 3 de Tesla après un accident mortel survenu samedi à Paris

L’immense faille Log4Shell rappelle que le financement du logiciel libre est essentiel

https://c0.lestechnophiles.com/www.numerama.com/wp-content/uploads/2021/12/dependency-2x.png

“Comme le fait remarquer Filippo Valsorda, il y a quelques semaines, le gouvernement américain avait alerté de la présence d’une autre faille dans un logiciel open-source très utilisé, mais complètement laissé aux mains de développeurs bénévoles. La terrible faille Heartbleed, qui a fait trembler le web en 2014, est venue d’un projet maintenu « par deux types appelés Steve », rappelait ironiquement Buzzfeed à l’époque. Ces pratiques sont tellement répandues que le célèbre blog BD XKCD en a même fait une blague tristement d’actualité. ”

Source : L’immense faille Log4Shell rappelle que le financement du logiciel libre est essentiel – Numerama

« Older posts

© 2022 no-Flux

Theme by Anders NorenUp ↑