une fuite à l'amdm

[fab le motard]

https://www.zataz.com/fuite-de-donnees- ... -impactes/

Aie aie aie

[Jano]

A la lecture du titre, j'ai pensé qu'un administrateur du forum avait des fuites urinaires.


Quand on lit l'article :
"Les informations copiées illégalement par ce hacker malveillant exposent les victimes à divers risques, notamment le phishing (hameçonnage), les arnaques téléphoniques, l’usurpation d’identité et un outil pour toutes collecte d’information supplémentaire pour un Social Engineering ciblé par exemple."

Bein en fait, c'est ce que l'on recoit toutes les semaines en gros...

[fab le motard]

en pire
car ils n'ont pas que ton email , mais tellement d'info que tu pourrais penser que c'est l'AMDM.
on ne connait pas la nature des données, mais ils peuvent aussi avoir, RIB, permis de conduire etc ...

[Daniel78]

Ils disent que non : « Pas de données bancaires ou encore de pièces d’identités… »

En revanche ils ont les numéros de téléphone. Ça c’est pas top.

Et en matière de Social Engineering, Raslescout pour acheter la liste des meneurs de la résistance.

[Jano]

Faut pas exagérer quand même (c'est moi qui dit ça...)
Ce qui est dangereux, ce sont les intérêts financiers. L'interfile, je vois pas trop l'enjeu.
Bon, le CT ça cause un peu plus, c'est vrai.

Quand on intimide ou tabasse pour les mega-bassines, les retraites ou les gilets jaunes, ok. Et dans ce cas, l'Etat n'a pas besoin de hacker pour récupérer les données, il déploie le parapluie de sécurité intérieure et tout passe crème.

[M-D-C]

https://www.zataz.com/fuite-de-donnees-chez-mutuelle-des-motards-plus-d13-million-dutilisateurs-impactes/

Aie aie aie

Screenshot_20250212_171704_Chrome.jpg (68.47 Kio) Vu 863 fois

[Daniel78]

Faut pas exagérer quand même (c'est moi qui dit ça...)
Ce qui est dangereux, ce sont les intérêts financiers. L'interfile, je vois pas trop l'enjeu.
Bon, le CT ça cause un peu plus, c'est vrai.

Quand on intimide ou tabasse pour les mega-bassines, les retraites ou les gilets jaunes, ok. Et dans ce cas, l'Etat n'a pas besoin de hacker pour récupérer les données, il déploie le parapluie de sécurité intérieure et tout passe crème.

Ah mais le hacker qui récupère ce genre de fichier, c'est juste pour le vendre à kikenveut. Ça ne lui a rien coûté.
L'utilisation et les nuisances que pourraient en faire l'acheteur, il s'en tamponne le coquillard.

Je ne crois pas une seconde que ce genre de piratage se fasse sur commande. C'est du vol d'opportunité.

[nirlo]

Ils disent que non : « Pas de données bancaires ou encore de pièces d’identités… »

En revanche ils ont les numéros de téléphone. Ça c’est pas top.

Et en matière de Social Engineering, Raslescout pour acheter la liste des meneurs de la résistance.

As-tu remarqué qu'à chaque fois que ce genre d'incident survient, les administrateurs de la base de données piratées nous ressortent le même discours " aucune donnée sensible n'a fuité ". Et pour cause le RGPD dispose " Toute entreprise doit assurer la sécurité des données personnelles qu'elle a collectées (données de clients, de fournisseurs, d'employés, etc.). Pour garantir un niveau de sécurité adapté au risque, de nombreuses mesures techniques et organisationnelles sont nécessaires. ".
Du coup la responsabilité pénale de ceux qui détiennent la base peut-être évoquée. D'où ce genre de message.

[Daniel78]

Ils disent que non : « Pas de données bancaires ou encore de pièces d’identités… »

En revanche ils ont les numéros de téléphone. Ça c’est pas top.

Et en matière de Social Engineering, Raslescout pour acheter la liste des meneurs de la résistance.

As-tu remarqué qu'à chaque fois que ce genre d'incident survient, les administrateurs de la base de données piratées nous ressortent le même discours " aucune donnée sensible n'a fuité ". Et pour cause le RGPD dispose " Toute entreprise doit assurer la sécurité des données personnelles qu'elle a collectées (données de clients, de fournisseurs, d'employés, etc.). Pour garantir un niveau de sécurité adapté au risque, de nombreuses mesures techniques et organisationnelles sont nécessaires. ".
Du coup la responsabilité pénale de ceux qui détiennent la base peut-être évoquée. D'où ce genre de message.

Dire qu’aucune donnée sensible n’a fuite est risible en effet.

Il n’y a rien de plus sensible qu’un simple nom et prénom justement. Si tu as le MSISDN (numéro de tél) tu as le gros lot.
Les mots de passe ne sont jamais stockés en clair. Ou alors c’est géré par des tocards.
On se focalise beaucoup sur les données bancaires, mais les banques on mis en place un minimum mécanismes de sécurité.

Quand je vois comment un opérateur Telecom ou FAI est emmerdé par le règlement GDPR avec des auditeur qui font des rapports au vitriol en les traitant de hors la loi car un numéro de client permet d’identifier un individu, une adresse IP, une adresse MAC, un IMSI, c’est comme avoir un nom.
Et même une simple asso sportive ou culturelle, une liste d’adhérents doit être protégée par un mot de passe, ne pas être distribuée sans chiffrage, jamais imprimée ou bien stockée sous clé (coffre, armoire).
Sinon sa responsabilité est engagée en cas d’agissement malveillant envers un adhérent.

[nirlo]

Dans mon ancien boulot, les IP, même volatiles, étaient considérées comme des données personnelles. C'est d'ailleurs la position de la CNIL.Pour en obtenir l'identification il fallait avoir un cadre d'enquête (préliminaire, flagrant-délit ou une Commission Rogatoire), que l'IP apparaissent dans le déroulement de l'infraction et pondre une réquisition.
Quand à poursuivre les détenteurs de la base pour " manquement aux obligations de sécurité", ça a du arriver une fois car trop flagrant. Sinon, de mon temps en tout cas, c'était très théorique.

[van.alstine]

La Caisse des Dépôts a été piratée
les données de 70 000 personnes dont un millier d'élus ont été aspirées, les données, pas les élus ...

[fab le motard]

La Caisse des Dépôts a été piratée
les données de 70 000 personnes dont un millier d'élus ont été aspirées, les données, pas les élus ...

là on s'en branle,
c'est des riches

[Daniel78]

Dans mon ancien boulot, les IP, même volatiles, étaient considérées comme des données personnelles. C'est d'ailleurs la position de la CNIL.Pour en obtenir l'identification il fallait avoir un cadre d'enquête (préliminaire, flagrant-délit ou une Commission Rogatoire), que l'IP apparaissent dans le déroulement de l'infraction et pondre une réquisition.
Quand à poursuivre les détenteurs de la base pour " manquement aux obligations de sécurité", ça a du arriver une fois car trop flagrant. Sinon, de mon temps en tout cas, c'était très théorique.

J’ai suivi quelques formations sur le RGPD.
C’est juridique, donc tous les cas de figure sont considérés, même ce qui est tiré par les cheveux et nécessite d’avoir accès à une base de données interne et soumise à habilitations.
Dans certains cas ça tourne à l’absurde, mais l’idée est de verrouiller toutes les portes. S’il ne reste qu’un vasistas, c’est certain qu’ils passeront par là.

La difficulté est que peu de monde mesure l’enjeu.
Même au niveaux associatif, aucune donnée personnelle ne doit sortir de l’Union Européenne. Il faut donc oublier une liste de participants à une sortie hébergée sur Google Drive par exemple.

[van.alstine]

La Caisse des Dépôts a été piratée
les données de 70 000 personnes dont un millier d'élus ont été aspirées, les données, pas les élus ...

là on s'en branle,
c'est des riches

Faux, mais je ne vais pas rentrer dans une explication qui n'a pas sa place ici.

[nirlo]

La Caisse des Dépôts a été piratée
les données de 70 000 personnes dont un millier d'élus ont été aspirées, les données, pas les élus ...

là on s'en branle,
c'est des riches

Les riches vivent en HLM ? Pour info c'est la caisse des dépôts qui prête principalement aux Offices HLM....