VirusTotal (Google) est attaqué et les données des utilisateurs sont exposées
-
Le service en ligne populaire pour l’analyse des fichiers suspects, des URL et des adresses IP, a eu un incident de sécurité plutôt malheureux. Comme l’ont découvert les chercheurs de SafeBreach, les informations d’identification volées par des logiciels malveillants pourraient être collectées.
En effet, avec une licence VirusTotal mensuelle de 600€ ils ont obtenu plus d’un million d’informations d’identification d’utilisateur avec juste une simple recherche et quelques outils. Tous proviennent de fichiers extraits de machines infectées, de portefeuilles de crypto-monnaie non chiffrés, etc., et se sont retrouvés hébergés sur VirusTotal.
Le chercheur de SafeBreach s’est appuyé sur une méthode simple (dorking) pour cela. Et c’est que l’API et les outils VirusTotal (VT Graph, Retrohunt, …) peuvent être utilisés pour trouver des fichiers qui contiennent des données volées (e-mails, noms d’utilisateur, identifiants d’accès aux réseaux sociaux, sites de commerce électronique, services de paiement en ligne, plateformes de streaming, services gouvernementaux en ligne, comptes bancaires et clés de portefeuille de crypto-monnaie privées).
Selon SafeBreach’s Bar, "Notre objectif était d’identifier les données qu’un criminel pourrait collecter avec une licence VirusTotal», une méthode qu’ils ont baptisée VirusTotal Hacking.
"Un contrevenant qui utilise cette méthode peut recueillir une quantité presque illimitée d’informations d’identification et d’autres données utilisateur sensibles avec très peu d’effort dans un court laps de temps en utilisant une approche sans infection. Nous l’appelons le cybercrime parfait, non seulement en raison du fait qu’il n’y a aucun risque et très peu d’efforts, mais aussi en raison de l’incapacité des victimes à se protéger de ce type d’activité. Une fois que les victimes ont été piratées par le pirate d’origine, la plupart ont peu de visibilité sur les informations sensibles téléchargées et stockées sur VirusTotal et d’autres forums. ».
Les chercheurs ont exhorté Google, via sa filiale Chronicle Security, à rechercher et supprimer ces fichiers de données utilisateur et à interdire les clés API qui les chargent, ainsi qu’à ajouter un algorithme qui empêche le chargement de ces fichiers pour effectuer des nettoyages périodiques et que cela ne pas arriver. Mais pour l’instant, Google n’a pas levé le petit doigt pour l’empêcher…
Source : linuxadictos.com
-
Joli titre putaclick qui dit l’inverse de l’article.
Sinon c’est plus un PoC pour l’API de VT qu’un leak de données vu que ce ne sont pas celles des utilisateurs, non ? -
@Aerya
Il semblerait que ce soit malgré tout un leak via le hack de VirusTotal Graph.There, the researchers found a file from their search results was also included in a RAR file containing exfiltrated data belonging to 500 victims — including 22,715 passwords to many different websites. Additional results included even larger files, containing more passwords.
https://www.darkreading.com/threat-intelligence/researchers-explore-hacking-virustotal-to-find-stolen-credentialshttps://www.safebreach.com/blog/2022/the-perfect-cyber-crime/
-
Pour moi c’est pas du tout un leak des utilisateurs de VT comme le suggère le titre. Juste un accès à des données leakées on ne sait quand/comment/où qui étaient hébergées sur VT.
-
Attends attends, virus totale ca appartient a cette merde de google ?
