Exposition De Données

Source: Medium — Le chercheur Seyfullah KILIÇ décrit une expérience visant à identifier des déploiements TeslaMate accessibles publiquement et la quantité de données sensibles qu’ils exposent. Il explique avoir réalisé un balayage à l’échelle d’Internet 🔎 pour repérer les hôtes avec le port 4000 ouvert, ce qui a permis une découverte rapide et massive grâce à une infrastructure multi-serveurs 10 Gbps. Après détection des hôtes, il a utilisé un outil de fingerprinting HTTP pour confirmer les installations TeslaMate via leur titre par défaut. Cette étape a affiné la liste aux déploiements effectivement identifiés comme TeslaMate. ...

Source : eaton-works.com — Un billet publié le 18 août 2025 décrit des vulnérabilités graves découvertes sur plusieurs sites internes d’Intel. L’auteur explique avoir pu contourner des mécanismes de connexion, exploiter des identifiants codés en dur et des APIs trop permissives pour accéder à des données sensibles. Les jetons et identifiants exposés ont depuis été révoqués/rotés, et Intel a corrigé les failles avant la publication. Principales expositions et vecteurs d’attaque ...

Source : Forbes.com (20 août 2025). L’article met en lumière que la fonction « partager » de Grok (xAI) publie les conversations sur le site de Grok et les rend indexables par les moteurs de recherche, exposant massivement des contenus et données d’utilisateurs. 🔎 Constat principal — Indexation publique des conversations : lorsqu’un utilisateur clique sur « partager », une URL unique est créée et la page est indexable par Google, Bing et DuckDuckGo. Forbes indique que plus de 370 000 conversations Grok sont actuellement indexées. Aucun avertissement ni disclaimer n’indiquait aux utilisateurs que le partage les rendait recherchables en ligne. ...

Selon TechCrunch, à la veille de sa présentation à Def Con, le chercheur en sécurité Eaton Zveare (Harness) a révélé avoir découvert plus tôt cette année des failles majeures dans le portail web centralisé des concessionnaires d’un constructeur automobile largement connu (non nommé), permettant la création d’un compte « national admin » avec un accès illimité. Impact et portée: avec ces droits, un attaquant aurait pu consulter les données personnelles et financières des clients, suivre des véhicules, et activer des fonctionnalités de contrôle à distance (ex. déverrouillage) via l’application mobile 🚗🔓. L’accès couvrait plus de 1 000 concessions aux États‑Unis, offrant une visibilité silencieuse sur les données, finances et leads des concessionnaires. ...

Selon Politico, une vaste intrusion a compromis le système électronique de dépôt et de gestion des dossiers de la justice fédérale américaine, avec un risque d’exposition d’informations sensibles, notamment des identités d’informateurs confidentiels impliqués dans des affaires pénales. L’incident concernerait le « core case management system » de la justice fédérale, incluant CM/ECF (utilisé par les professionnels pour déposer et gérer des documents) et PACER (accès public limité). Les données potentiellement exposées comprennent des identités de témoins/informateurs, des actes d’accusation sous scellés, ainsi que des mandats d’arrêt et de perquisition susceptibles d’aider des suspects à éviter leur interpellation. 🚨 ...

La plateforme de gestion de travail Asana a publié un avertissement concernant une vulnérabilité dans sa nouvelle fonctionnalité Model Context Protocol (MCP), qui pourrait avoir entraîné une exposition de données entre les utilisateurs. Cette alerte a été relayée par le média spécialisé Bleeping Computer. La faille identifiée dans l’implémentation de MCP a potentiellement permis à des données de s’échapper des instances d’utilisateurs vers d’autres utilisateurs, et vice versa. Cette situation soulève des préoccupations importantes concernant la confidentialité et la sécurité des données sur la plateforme. ...

Selon TechCrunch, la société Vanta a récemment confirmé une exposition de données concernant certains de ses clients, attribuée à un bug survenu lors d’un changement de code produit. Cette situation n’est pas le résultat d’une intrusion externe. Vanta, spécialisée dans l’automatisation des processus de sécurité et de conformité, a identifié ce problème le 26 mai et prévoit de le résoudre complètement d’ici le 4 juin. L’incident a entraîné l’exposition d’un sous-ensemble de données provenant de moins de 20% de leurs intégrations tierces à d’autres clients de Vanta. ...