Dernières nouvelles et articles sur la cybersécurité

---

MITRE Déploie Un Prototype De Sécurité De La Chaîne D'Approvisionnement

La plate-forme dite Risk Model Manager (RMM) est désormais disponible pour que les organisations puissent évaluer les risques et la sécurité de la chaîne d'approvisionnement, ainsi que pour afficher, modifier et personnaliser le contenu du cadre SoT, ou l'exporter pour l'utiliser comme cadre de sous-ensemble.

---

Les installations CloudPanel utilisent la même clé privée de certificat SSL

La solution d'administration Web auto-hébergée CloudPanel présentait plusieurs problèmes de sécurité, notamment l'utilisation de la même clé privée de certificat SSL dans toutes les installations et l'écrasement involontaire des règles de pare-feu pour utiliser par défaut des paramètres plus faibles.

---

La collaboration sur l'Auto-Préservation Mise en évidence dans le Dernier Guide de Cyber-Surveillance

La quatrième édition du Director's Handbook on Cyber-Risk Oversight, publiée par la National Association of Corporate Directors et l'Internet Security Alliance, énonce six principes fondamentaux “pour la surveillance de la cybersécurité par le conseil d'administration.”

---

Blackguard stealer étend ses capacités dans une nouvelle variante

Les chercheurs d'AT & T Alien Labs ont découvert une nouvelle variante de Blackguard stealer dans la nature, infectant à l'aide d'attaques de spear phishing. La nouvelle variante tente de se propager via des supports amovibles et des périphériques partagés.

---

Oui, c'est fou d'avoir TikTok sur les téléphones officiels. Mais ce n'est bon pour aucun d'entre nous / John Naughton

Les craintes pour la sécurité des données sont à l'origine des récentes interdictions du gouvernement sur l'application appartenant à des Chinois, mais le défilement des zombies présente également des dangers pour la santéÀ partir de ce moment, le gouvernement il est interdit aux fonctionnaires de 11 pays d'exécuter TikTok sur leurs téléphones émis par le gouvernement. Les pays comprennent les États-Unis, le Canada, le Danemark, la Belgique, le Royaume-Uni, la Nouvelle-Zélande, la Norvège, la France, les Pays-Bas et la Pologne. En outre, le personnel de la Commission européenne et du Parlement européen a dû supprimer l'application. Cela soulève deux questions. D'abord, pourquoi les politiciens et les hauts fonctionnaires des démocraties défilaient-ils comme des zombies à travers des manies de danse, des vidéos stupides pour animaux de compagnie, vous vous sentez "bonita" et les choses que vous pouvez faire avec du rouge à lèvres taché? Continuez à lire...

---

Une cyberattaque frappe la société pharmaceutique espagnole Alliance Healthcare

Le cyberincident a débuté le 17 mars et a entraîné l'arrêt complet du site Web, des systèmes de facturation et des processus de commande de l'entreprise. Pendant les premiers jours de l'attaque, l'entreprise est restée à l'arrêt.

---

Un Package Python malveillant Utilise la Supercherie Unicode pour Échapper à la Détection et voler des Données

Le package en question, nommé onyxproxy, a été téléchargé sur PyPI le 15 mars 2023 et est livré avec des capacités de récolte et d'exfiltration des informations d'identification et d'autres données précieuses. Il a depuis été retiré, mais pas avant d'avoir attiré 183 téléchargements.

---

TikTok interdit sur les appareils de la Mairie de Londres pour des raisons de sécurité

La décision de la Greater London authority intervient après que l'application appartenant à des Chinois a été bloquée sur les appareils parlementaires britanniquesLe personnel de la Mairie de Londres n'aura plus TikTok sur ses appareils dans la dernière interdiction imposée à l'application de médias sociaux appartenant à des Chinois pour des raisons de sécurité. La Greater London authority (GLA) a déclaré que la règle avait été mise en œuvre car elle prenait la sécurité de l'information “extrêmement au sérieux”. Continuez à lire...

---

Une faille critique dans le framework de test d'IA MLflow peut entraîner une compromission du serveur et des données

La vulnérabilité trouvée par Dan McInerney est suivie comme CVE-2023-1177 et est classée 10 (critique) sur l'échelle CVSS. Il est décrit comme une inclusion de fichiers locaux et distants (LFI/RFI) via l'API.

---

La sécurité de la drogue à base de liège obtient un investissement de 16 millions de dollars

La ronde de financement de série A a été dirigée par Google Ventures (GV), avec la participation des investisseurs existants Boldstart Ventures et Preface. L'entreprise prévoit d'utiliser une partie du financement pour élargir son équipe d'ingénieurs à Cork.

---

Une nouvelle arnaque Instagram utilise de fausses cartes-cadeaux SHEIN comme leurre

Cette arnaque sur les réseaux sociaux commence par un commentaire d'un compte aléatoire sur la publication d'un utilisateur, qui félicite la victime en disant qu'elle fait partie des 2023 chanceux sélectionnés pour recevoir une carte-cadeau SHEIN.

---

La National Crime Agency du Royaume-Uni Met en Place De Faux Sites DDoS à Louer pour Attraper les Cybercriminels

Dans ce qui est un cas de mise en place d'un voleur pour attraper un voleur, la National Crime Agency (NCA) du Royaume-Uni a révélé qu'elle avait créé un réseau de faux sites Web DDoS pour compte d'autrui pour infiltrer la clandestinité criminelle en ligne. "Tous les sites gérés par la NCA, qui ont jusqu'à présent été consultés par environ plusieurs milliers de personnes, ont été créés pour donner l'impression qu'ils offrent les outils et les services qui permettent aux cybercriminels de

---

Le PDG de TikTok s'est fait griller par les législateurs des deux parties pour savoir si l'application appartenant à des Chinois peut protéger la vie privée des Américains

Le témoignage du PDG de TikTok, Shou Zi Chew, ne semble pas apaiser les nombreuses inquiétudes des législateurs concernant les liens de l'entreprise avec la Chine ou l'adéquation de son plan d'atténuation des risques, Project Texas.

---

Kroger Postal Prescription Services Dépose un Avis de violation de données affectant 82 466 consommateurs

Après avoir découvert que des données sensibles sur les consommateurs avaient été mises à la disposition d'une partie non autorisée, Kroger Postal Prescription Services a commencé à examiner les fichiers concernés pour déterminer quelles informations étaient compromises et quels consommateurs étaient touchés.

---

Britive, qui aide à sécuriser les clouds publics, obtient un investissement de 20,5 millions de dollars

Dirigé par Pelion Venture Partners avec la participation de Liberty Global Ventures, Crosslink Capital et One Way Ventures, le nouveau porte le total levé par Britive à 36 millions de dollars.

---

Pwn2Own Vancouver 2023 Jour 2: Microsoft Teams, Oracle VirtualBox et Tesla piratés

Le deuxième jour de Pwn2Own Vancouver 2023, les chasseurs de bogues ont présenté des attaques zero-day contre la plate-forme de virtualisation Oracle VirtualBox, Microsoft Teams, Tesla Model 3 et le système d'exploitation de bureau Ubuntu.

---

Microsoft met en garde contre une vulnérabilité furtive d'Outlook Exploitée par des pirates informatiques russes

Microsoft a partagé vendredi des conseils pour aider les clients à découvrir des indicateurs de compromission (IOC) associés à une vulnérabilité Outlook récemment corrigée. Suivi sous le numéro CVE-2023-23397 (score CVSS: 9,8), la faille critique concerne un cas d'escalade de privilèges qui pourrait être exploité pour voler des hachages NT Lan Manager (NTLM) et organiser une attaque par relais sans nécessiter aucune interaction de l'utilisateur. "Externe

---

Pwn2Own Vancouver 2023 Jour 1: Windows 11 et Tesla piratés

Le Pwn2Own Vancouver 2023 a commencé, ce concours de piratage compte 19 candidatures ciblant neuf cibles différentes – dont deux tentatives Tesla. Le premier jour, il a attribué 375 000 $(et une Tesla Model 3) pour 12 vulnérabilités zero-day découvertes.

---

OpenAI Révèle Un Bogue Redis Derrière L'Incident D'Exposition Des Données Utilisateur ChatGPT

OpenAI a révélé vendredi qu'un bogue dans la bibliothèque open source Redis était responsable de l'exposition des informations personnelles et des titres de discussion d'autres utilisateurs dans le service ChatGPT du parvenu plus tôt cette semaine. Le problème, qui a été révélé le 20 mars 2023, a permis à certains utilisateurs d'afficher de brèves descriptions des conversations d'autres utilisateurs à partir de la barre latérale de l'historique des discussions, incitant l'entreprise à

---

CISA Devient Proactive Avec De Nouvelles Alertes Pré-Ransomware

En prenant des mesures immédiates dès la réception d'une alerte précoce, les organisations peuvent réduire les pertes potentielles de données, éviter l'impact sur les opérations et réduire l'impact financier et d'autres conséquences néfastes.