Exposition De Données

Selon Have I Been Pwned, Divine Skins (service de skins personnalisés pour League of Legends) a révélé sur son serveur Discord qu’un accès non autorisé a touché une partie de ses systèmes en mars 2026. 🚨 Nature de l’incident : accès non autorisé à une partie des systèmes et suppression de tous les skins de la base de données. 🗂️ Données compromises : Adresses e-mail Pseudos (usernames) Historique des achats réalisés par les utilisateurs 📣 Communication : l’incident a été divulgué sur le serveur Discord de Divine Skins. ...

Selon BleepingComputer, des clients de restaurants dont l’encaissement repose sur la plateforme de point de vente (POS) HungerRush disent avoir reçu des e‑mails d’un acteur malveillant tentant d’extorquer l’entreprise. ⚠️ Le ou les expéditeurs menacent d’exposer des données si HungerRush ne répond pas. Les messages évoquent la possible divulgation de données de restaurants et de clients. Éléments clés: Type d’attaque: tentative d’extorsion par e‑mail avec menace de divulgation de données (data leak extortion) Impact potentiel: exposition de données concernant des restaurants et leurs clients 🍽️💾 Produits/secteurs concernés: plateforme POS HungerRush et l’écosystème de restauration IOCs (Indicateurs de compromission): ...

Selon TechCrunch, une vulnérabilité de type IDOR (Insecure Direct Object Reference) a affecté le site d’admission scolaire Ravenna Hub (VenturEd Solutions, Floride), exposant les données personnelles d’élèves et de leurs familles. TechCrunch a découvert la faille mercredi, a alerté l’éditeur, qui l’a corrigée le jour même. La publication a été différée jusqu’à vérification du correctif. • Nature de la faille: la modification de l’identifiant d’un profil élève directement dans l’URL permettait à tout utilisateur connecté d’accéder aux informations d’autres élèves. Les identifiants étaient séquentiels (numéros à 7 chiffres), facilitant l’énumération. ...

Selon Politico (27 janv. 2026), Madhu Gottumukkala, directeur par intérim de la CISA, a importé l’été dernier des documents de contrats marqués FOUO (For Official Use Only) dans la version publique de ChatGPT 🤖, déclenchant des alertes de sécurité automatisées et une évaluation d’impact au niveau du DHS. Les fichiers n’étaient pas classifiés, mais étaient considérés comme sensibles et non destinés à la diffusion publique. Gottumukkala avait obtenu une exception d’accès auprès du bureau du CIO de la CISA alors que l’application était bloquée pour les autres employés. La porte-parole de la CISA affirme qu’il a été autorisé à utiliser ChatGPT avec des contrôles DHS, de manière limitée et temporaire, et soutient que le dernier usage remonterait à mi-juillet 2025; la CISA maintient par défaut le blocage de ChatGPT sauf exception, en ligne avec la volonté d’exploiter l’IA dans le cadre de l’EO de Trump. ...

Source : inside-it.ch – Philipp Anz Date : 20 janvier 2026 🎯 Faits clés L’attaque ransomware subie par Ingram Micro à l’été 2025 s’est révélée bien plus grave que prévu. L’entreprise confirme désormais une fuite massive de données personnelles concernant plus de 42 000 personnes, selon une notification officielle déposée auprès du procureur général de l’État du Maine (États-Unis). L’attaque, détectée le 3 juillet 2025, avait initialement entraîné l’indisponibilité temporaire du site web et des systèmes de commande du distributeur IT mondial. Le groupe ransomware Safepay a revendiqué l’opération et affirmé avoir exfiltré 3,5 To de données. ...

Contexte: Billet de blog d’un chercheur en sécurité détaillant plusieurs failles majeures dans l’écosystème Petlibro (distributeurs, fontaines et caméras connectés), utilisés par des millions de propriétaires d’animaux. 🚨 Principales vulnérabilités: Bypass d’authentification (prise de compte complète) via l’endpoint social login qui ne vérifiait pas les tokens OAuth et acceptait un identifiant Google côté client. Absence de contrôle d’accès sur l’endpoint de détail des animaux permettant de consulter les informations de n’importe quel animal via son identifiant. Exposition d’informations d’appareils (numéro de série, adresse MAC, nom du produit) récupérables à partir d’un ID d’animal lié. Prise de contrôle d’appareils: les API d’appareils acceptaient n’importe quel numéro de série sans vérification de propriété (programmation des repas, déclenchement manuel, accès caméra, réglages, etc.). Accès à des enregistrements audio privés en raison d’identifiants séquentiels et d’une API permettant d’associer n’importe quel audio à n’importe quel appareil, puis de récupérer l’URL. Ajout non autorisé de co-propriétaires: contrôle en place seulement pour la suppression, pas pour l’ajout. 🎯 Impacts mentionnés: ...

Selon TechCrunch, le chercheur en sécurité Anurag Sen a découvert qu’un système national de lecture automatique de plaques d’immatriculation (LAPI) en Ouzbékistan était exposé sur Internet sans mot de passe. Le système, opéré par le Department of Public Security du ministère ouzbek de l’Intérieur à Tachkent, reste accessible au moment de la publication. • Le réseau comprend environ une centaine de caméras haute résolution scannant plaques et occupants, et enregistrant des infractions (feux rouges, ceintures, circulation nocturne de véhicules non autorisés). Des artefacts montrent une base de données créée en septembre 2024 et un début de surveillance mi‑2025. L’exposition a permis d’observer le suivi de l’un des conducteurs sur six mois entre Chirchiq, Tachkent et Eshonguzar. ...

TechCrunch rapporte qu’un chercheur, « Zeacer », a découvert une faille web chez Hama Film (marque de Vibecast) permettant à « n’importe qui » de télécharger les photos et vidéos de clients mises en ligne par les bornes photo de l’entreprise. Nature de l’incident : exposition de données clients (photos/vidéos) due à une faille simple sur le site où les fichiers sont stockés, rendant les contenus accessibles et téléchargeables par des tiers 🔓🖼️. ...

Selon TechCrunch, Petco a indiqué qu’une exposition de données est survenue à cause d’une erreur dans une application, et que l’entreprise est en train de notifier les victimes dont les données ont été affectées. Petco confirme une fuite massive de données sensibles après une mauvaise configuration applicative 1. Contexte Petco, géant américain des produits et services pour animaux (24+ millions de clients en 2022), a confirmé une violation de données ayant exposé des informations personnelles. D’abord vague dans ses premières communications, l’entreprise a détaillé la nature des données compromises dans les notifications officielles adressées à plusieurs États. ...

Selon BleepingComputer, le plugin WordPress « Anti-Malware Security and Brute-Force Firewall », installé sur plus de 100 000 sites, présente une vulnérabilité permettant à des utilisateurs au rôle d’« abonné » de lire n’importe quel fichier sur le serveur, exposant ainsi des informations privées. Le problème touche un plugin de sécurité très répandu et ouvre la voie à une lecture de fichiers arbitraire par des comptes disposant de privilèges faibles (simples abonnés). L’impact direct est une exposition de données sensibles stockées côté serveur. ...