Exposition De Données

Selon Politico (27 janv. 2026), Madhu Gottumukkala, directeur par intérim de la CISA, a importé l’été dernier des documents de contrats marqués FOUO (For Official Use Only) dans la version publique de ChatGPT 🤖, déclenchant des alertes de sécurité automatisées et une évaluation d’impact au niveau du DHS. Les fichiers n’étaient pas classifiés, mais étaient considérés comme sensibles et non destinés à la diffusion publique. Gottumukkala avait obtenu une exception d’accès auprès du bureau du CIO de la CISA alors que l’application était bloquée pour les autres employés. La porte-parole de la CISA affirme qu’il a été autorisé à utiliser ChatGPT avec des contrôles DHS, de manière limitée et temporaire, et soutient que le dernier usage remonterait à mi-juillet 2025; la CISA maintient par défaut le blocage de ChatGPT sauf exception, en ligne avec la volonté d’exploiter l’IA dans le cadre de l’EO de Trump. ...

Source : inside-it.ch – Philipp Anz Date : 20 janvier 2026 🎯 Faits clés L’attaque ransomware subie par Ingram Micro à l’été 2025 s’est révélée bien plus grave que prévu. L’entreprise confirme désormais une fuite massive de données personnelles concernant plus de 42 000 personnes, selon une notification officielle déposée auprès du procureur général de l’État du Maine (États-Unis). L’attaque, détectée le 3 juillet 2025, avait initialement entraîné l’indisponibilité temporaire du site web et des systèmes de commande du distributeur IT mondial. Le groupe ransomware Safepay a revendiqué l’opération et affirmé avoir exfiltré 3,5 To de données. ...

Contexte: Billet de blog d’un chercheur en sécurité détaillant plusieurs failles majeures dans l’écosystème Petlibro (distributeurs, fontaines et caméras connectés), utilisés par des millions de propriétaires d’animaux. 🚨 Principales vulnérabilités: Bypass d’authentification (prise de compte complète) via l’endpoint social login qui ne vérifiait pas les tokens OAuth et acceptait un identifiant Google côté client. Absence de contrôle d’accès sur l’endpoint de détail des animaux permettant de consulter les informations de n’importe quel animal via son identifiant. Exposition d’informations d’appareils (numéro de série, adresse MAC, nom du produit) récupérables à partir d’un ID d’animal lié. Prise de contrôle d’appareils: les API d’appareils acceptaient n’importe quel numéro de série sans vérification de propriété (programmation des repas, déclenchement manuel, accès caméra, réglages, etc.). Accès à des enregistrements audio privés en raison d’identifiants séquentiels et d’une API permettant d’associer n’importe quel audio à n’importe quel appareil, puis de récupérer l’URL. Ajout non autorisé de co-propriétaires: contrôle en place seulement pour la suppression, pas pour l’ajout. 🎯 Impacts mentionnés: ...

Selon TechCrunch, le chercheur en sécurité Anurag Sen a découvert qu’un système national de lecture automatique de plaques d’immatriculation (LAPI) en Ouzbékistan était exposé sur Internet sans mot de passe. Le système, opéré par le Department of Public Security du ministère ouzbek de l’Intérieur à Tachkent, reste accessible au moment de la publication. • Le réseau comprend environ une centaine de caméras haute résolution scannant plaques et occupants, et enregistrant des infractions (feux rouges, ceintures, circulation nocturne de véhicules non autorisés). Des artefacts montrent une base de données créée en septembre 2024 et un début de surveillance mi‑2025. L’exposition a permis d’observer le suivi de l’un des conducteurs sur six mois entre Chirchiq, Tachkent et Eshonguzar. ...

TechCrunch rapporte qu’un chercheur, « Zeacer », a découvert une faille web chez Hama Film (marque de Vibecast) permettant à « n’importe qui » de télécharger les photos et vidéos de clients mises en ligne par les bornes photo de l’entreprise. Nature de l’incident : exposition de données clients (photos/vidéos) due à une faille simple sur le site où les fichiers sont stockés, rendant les contenus accessibles et téléchargeables par des tiers 🔓🖼️. ...

Selon TechCrunch, Petco a indiqué qu’une exposition de données est survenue à cause d’une erreur dans une application, et que l’entreprise est en train de notifier les victimes dont les données ont été affectées. Petco confirme une fuite massive de données sensibles après une mauvaise configuration applicative 1. Contexte Petco, géant américain des produits et services pour animaux (24+ millions de clients en 2022), a confirmé une violation de données ayant exposé des informations personnelles. D’abord vague dans ses premières communications, l’entreprise a détaillé la nature des données compromises dans les notifications officielles adressées à plusieurs États. ...

Selon BleepingComputer, le plugin WordPress « Anti-Malware Security and Brute-Force Firewall », installé sur plus de 100 000 sites, présente une vulnérabilité permettant à des utilisateurs au rôle d’« abonné » de lire n’importe quel fichier sur le serveur, exposant ainsi des informations privées. Le problème touche un plugin de sécurité très répandu et ouvre la voie à une lecture de fichiers arbitraire par des comptes disposant de privilèges faibles (simples abonnés). L’impact direct est une exposition de données sensibles stockées côté serveur. ...

Selon ian.sh (Ian Carroll), dans un billet publié le 22/10/2025, des chercheurs (Ian Carroll, Gal Nagli, Sam Curry) ont identifié une faille critique sur le portail de « Driver Categorisation » de la FIA lié aux événements de Formule 1. — Découverte et vecteur d’attaque — Les chercheurs ont exploité une vulnérabilité de mass assignment / contrôle d’accès insuffisant sur l’API (requête HTTP PUT vers « /api/users/{id} »), où le champ JSON roles était accepté côté serveur. En injectant { "roles": [{ "id": 1, "name": "ADMIN" }] }, ils ont pu s’assigner le rôle ADMIN, puis, après réauthentification, accéder au tableau de bord d’administration. ...

Selon BleepingComputer, une nouvelle attaque baptisée « CometJacking » abuse des paramètres d’URL pour injecter des instructions cachées dans le navigateur Comet de Perplexity. L’attaque consiste à utiliser des paramètres d’URL afin de transmettre au navigateur Comet de Perplexity des instructions cachées qui ne sont pas visibles pour l’utilisateur. Ces instructions permettraient d’atteindre des données sensibles provenant de services connectés, notamment des boîtes e‑mail et des calendriers. TTPs observés: Exploitation de paramètres d’URL pour insérer des instructions cachées. Accès à des données de services connectés (e-mail, calendrier) via le navigateur Comet. Type d’article et objectif: article de presse spécialisé visant à informer sur une nouvelle technique d’attaque ciblant les intégrations du navigateur Comet. ...

Selon BleepingComputer, Adobe a averti ses clients Analytics qu’un bug d’ingestion a provoqué l’apparition de données d’organisations dans les instances d’analyse d’autres clients pendant environ une journée. ⚠️ L’incident concerne le service Adobe Analytics et résulte d’un problème d’ingestion de données, entraînant une exposition inter-clients (données d’une organisation visibles dans l’instance d’une autre). • Périmètre: clients d’Adobe Analytics. • Nature: mélange de données entre locataires dû à un bug d’ingestion. • Durée: environ un jour. ...