Ticketmaster,  Adidas, Gentoo : piratages et fuites de données en série

Ticketmaster, Adidas, Gentoo : piratages et fuites de données en série

Et ce n'est pas fini

Avatar de l'auteur
Sébastien Gavois

Publié dans

Internet

29/06/2018 7 minutes
12

Ticketmaster,  Adidas, Gentoo : piratages et fuites de données en série

Les fuites et failles sont malheureusement monnaie courante, avec plus ou moins de gravité. Au cours des dernières heures, plusieurs sociétés en ont été victimes : données personnelles et bancaires chez Ticketmaster, suspicion chez Adidas, dépôt GitHub détourné chez Gentoo, etc. 

Pour le moment, la plus grosse fuite de données personnelles revient certainement à Yahoo avec pas moins de trois milliards de comptes, excusez du peu. Dans les fuites emblématiques, signalons également celle aux multiples rebondissements d'Equifax, se révélant de plus en plus graves au fil des mois.

Citons aussi le quiz de Cambridge Analytica sur Facebook (lire notre analyse), avec une captation des données de dizaines de millions de membres du réseau social. L'affaire n'est d'ailleurs pas terminée avec 120 millions de clients exposés à cause d'un autre quiz (Nametests.com).

Face à cette déferlante de comptes piratés de toute part, la résistance s'organise doucement. Des gestionnaires de mots de passe surveillent régulièrement ce genre de fuites et vous préviennent si besoin. Il en est de même pour Firefox, via un partenariat qui vient d'être officialisé avec Have I been pwned

Les différents services vont devoir se mettre à jour, en ajoutant au moins quelques millions de comptes supplémentaires à leur base de données.

Ticketmaster accuse un script Inbenta... et se prend deux retours de bâton

Ticketmaster annonce en effet avoir été victime d'un piratage, potentiellement depuis… septembre 2017. « Le samedi 23 juin 2018, Ticketmaster UK a identifié que des logiciels malveillants sur un produit de support client hébergé par Inbenta Technologies, un fournisseur externe à Ticketmaster, exportaient les données des clients britanniques vers un tiers inconnu » explique l'entreprise spécialisée dans la vente de billets de spectacle.

Inbenta répond : « la source de la brèche de données était un seul morceau de code JavaScript, personnalisé par Inbenta pour répondre aux exigences particulières de Ticketmaster ». Elle ajoute que le code n'est donc présent dans aucune autre implémentation ou produit Inbenta.

La société charge au passage son partenaire : « Ticketmaster a directement appliqué le script à sa page de paiement, sans en informer notre équipe. Si nous avions su que le script personnalisé était utilisé de cette façon, nous aurions déconseillé de le faire, car il y aurait un plus grand risque de vulnérabilité ».

Dans tous les cas, les utilisateurs concernés par cet incident sont informés par email et peuvent bénéficier d'une solution de surveillance de leur identité gratuitement pendant 12 mois. Au total, moins de 5 % de la clientèle mondiale est concernée selon la Ticketmaster, mais ceux d'Amérique du Nord sont épargnés, sans que l'on sache pourquoi.

Pour le reste : « Les clients britanniques qui ont acheté ou tenté d'acheter des billets entre le mois de février et le 23 juin 2018 peuvent être touchés ainsi que les clients internationaux qui ont acheté ou tenté d'acheter des billets entre septembre 2017 et le 23 juin 2018 », soit une période de 10 mois tout de même.

Les informations transférées vers un tiers non identifié comprennent le nom, l'adresse, l'adresse e-mail, le numéro de téléphone, les informations de paiement (sans plus de détail) et de connexion à Ticketmaster. Il n'est pas précisé si les mots de passe étaient chiffrés et de quelle manière le cas échéant.

La banque Monzo affirme avoir prévenu Ticketmaster dès le mois d'avril

La banque Monzo y va aussi de son billet de blog, également à charge contre Ticketmaster. Elle indique en effet avoir informé la société d'un problème potentiel dès le mois d'avril suite à une recrudescence de fraudes chez ses clients ayant utilisé leur carte chez Ticketmaster.

Les premières remontées datent du 6 avril, avec des utilisations frauduleuses pour une cinquantaine de clients Monzo, sans en connaitre la cause à l'époque. La banque a donc ouvert une enquête : « notre équipe Crime Financier et Sécurité a remarqué une tendance. 70 % des clients concernés avaient utilisé leur carte chez le même marchand en ligne entre décembre de l'année dernière et avril de cette année. Ce marchand était Ticketmaster. Une situation inhabituelle, puisque seulement 0,8 % de tous nos clients utilisaient Ticketmaster ».

Monzo avait alors contacté d'autres banques et les autorités compétentes à la recherche de cas similaires, sans résultat. Les tentatives de fraudes ont continué les jours suivants : « Compte tenu de la tendance qui se dessinait, nous avons décidé de contacter directement Ticketmaster ». Le 12 avril, des personnels de Ticketmaster ont rencontré ceux de Monzo et annoncé l'ouverture d'une enquête interne.

Une semaine plus tard, le vendeur de billets rétorquait n'avoir identifié aucun signe d'effraction sur son site et affirmait ne pas avoir reçu de rapports similaires provenant d'autres banques. L'affaire en était restée là. « Par mesure de précaution », Monzo avait tout de même remplacé 6 000 cartes de clients l'ayant utilisée chez Ticketmaster, mais sans nommer cette dernière à l'époque.

La banque se dit « heureuse de voir que Ticketmaster a publié l'information publiquement », et elle a mis en ligne une chronologie des faits, de son point de vue évidemment. Dans tous les cas, l'enquête Ticketmaster suit son cours et la société affirme collaborer avec les autorités compétentes, les banques et organismes de paiement. 

Monzo faille Ticketmaster

Adidas : des données de quelques millions d'utilisateurs en fuite 

Autre société, autre ambiance. Le fabricant de chaussures Adidas a mis en ligne un bulletin de sécurité expliquant qu'un tiers non autorisé leur a « déclaré avoir obtenu certaines données de ses clients », mais sans le citer.

Suite à une enquête préliminaire menée par ses services, les informations de contact, noms et mots de passe (chiffrés, sans plus de détail) auraient fuité. Le fabricant n'a par contre « aucune raison de croire » que des informations bancaires ou en rapport avec la santé de ses utilisateurs soient dans le lot. Une maigre consolation.

Un porte-parole de la société explique à plusieurs de nos confrères que, « à l'heure actuelle, quelques millions de clients » sont concernés. Ils sont tous contactés par le fabricant et, là encore, l'enquête suit son cours. Pour les détails, on repassera.

Gentoo s'est fait piquer son dépôt GitHub

Chez Gentoo, il n'est pas question d'une fuite de données, mais du piratage de son dépôt Github hier soir vers 22h20 (heure française) : « des inconnus ont pris le contrôle du Github de Gentoo et ont modifié son contenu, ainsi que les pages qui s'y trouvent ». Bref, « tout le code Gentoo hébergé sur GitHub doit pour le moment être considéré comme compromis ».

Les fichiers ebuilds mis en place par les pirates voulaient supprimer l'ensemble des données présentes sur la machine en cas d'installation, mais le code ne fonctionnait visiblement pas correctement, selon les développeurs de la distribution Linux. Dans tous les cas, les fichiers malveillants ont rapidement été supprimés et, vers 6h30 du matin, Gentoo a récupéré l'accès à son dépôt (qui est pour le moment inaccessible). 

Ce piratage n'a aucune conséquence sur son infrastructure servant de dépôt principal, affirment les développeurs : GitHub n'est qu'un miroir. Il n'y a donc rien à craindre si vous utilisez une commande rsync ou webrsync pointant vers gentoo.org. La distribution promet des mises à jour à venir sur le déroulement des opérations. 

Face à toutes ses failles, fuites et autres piratages, reste une question : à qui le tour ?

Écrit par Sébastien Gavois

Tiens, en parlant de ça :

Sommaire de l'article

Introduction

Ticketmaster accuse un script Inbenta... et se prend deux retours de bâton

La banque Monzo affirme avoir prévenu Ticketmaster dès le mois d'avril

Adidas : des données de quelques millions d'utilisateurs en fuite 

Gentoo s'est fait piquer son dépôt GitHub

Le brief de ce matin n'est pas encore là

Partez acheter vos croissants
Et faites chauffer votre bouilloire,
Le brief arrive dans un instant,
Tout frais du matin, gardez espoir.

Commentaires (12)


y’a une mise à jour Have I Been Pwned ? <img data-src=" />


J’ai toujours un problème de confiance avec i have been pwned mais bon je dois être parano…








XMalek a écrit :



J’ai toujours un problème de confiance avec i have been pwned mais bon je dois être parano…





normalement il stocke rien, et se base sur une comparaison de hash avec des mails déjà plus en clair <img data-src=" />



Après perso j’ai un mail qui ressort mais sur des services auxquels je ne me suis inscrit qu’après la faille <img data-src=" />



Bref tout ça pour dire que j’utilise Ticketmaster..



La façon dont est conçue l’API semble rendre difficile l’extraction de tout info utile sur ton mdp.

Après, si tu n’as toujours pas confiance, les données brutes sont librement disponibles pour faire ton instance perso du service.


Aller ici vos 4% de CA


pas de compte sur adidas ou ticketmaster <img data-src=" />


Pour avoir bosser dans la secu, c’est deja bien qu’ils aient prevenu leur client via un email.

&nbsp;

Bien souvent, c’est tout simplement passe sous silence<img data-src=" />




La société&nbsp;charge au passage son partenaire : « Ticketmaster a

directement appliqué le script à sa page de paiement, sans en informer

notre équipe. Si nous avions su que le script personnalisé était utilisé

de cette façon, nous aurions déconseillé de le faire, car il y aurait

un plus grand risque de vulnérabilité ».





Mouais…

Elle est un peu bancale cette argumentation d’Inbenta.



En premier lieu, quand le script que tu es chargé de rédiger a une faille, ça sert rien de rejeter la faute sur les autres: tu codes avec les pieds, tu assumes.

Ensuite, quand tu fais un script personnalisé, donc avec un cahier des charges/spécifications fonctionnelles pour une utilisation dans un environnement bien défini, il est très peu probable que ledit script fonctionne aussi dans un autre cadre. C’est un peu gros de tenter de faire croire que tu étais pas au courant des probables cas d’application du script.


A ce rythme, autant faire une base de donnée publique avec les infos de tout le monde, on gagnera du temps…ah merde, on me dit dans l’oreillette qu’un certain Mark Z. aurait déjà eu l’idée.

Décidemment, je serai jamais milliardaire :-/


Compte chez l’un comme chez l’autre -_- TicketMaster, parce que j’ai rushé pour avoir un pauvre ticket perdu pour un concert prochain et Adidads pour un évènement sportif passé.





J’ai regardé mes comptes mais pas de traces d’activités. J’ai envie de passer au full PayPal histoire d’avoir de meilleurs traces et faire gérer les litiges plus rapidement !!








Thoscellen a écrit :



Compte chez l’un comme chez l’autre -_- TicketMaster, parce que j’ai rushé pour avoir un pauvre ticket perdu pour un concert prochain et Adidads pour un évènement sportif passé.





J’ai regardé mes comptes mais pas de traces d’activités. J’ai envie de passer au full PayPal histoire d’avoir de meilleurs traces et faire gérer les litiges plus rapidement !!







ticketmaster ce que j’aime pas c’est l’ouverture des réservations à 10h et à 10H00m30s plus de place.



Moi j’ai l’impression que pcinpact.com a été piraté, et oui depuis hier le DNS

ne pointe plus vers nextinpact ! Faut vite me changer ça, car c’est à 99% ma façon d’y accéder! :)