Kaspersky Digital Footprint Intelligence Kaspersky a découvert que les logins et mots de passe de 34 millions d'utilisateurs de Roblox, d'un peu plus d'1 million d'utilisateurs de l'outil de conception graphique en ligne Canva avaient été compromis par des logiciels malveillants et divulgués sur le dark web ou des chaînes Telegram ces trois dernières années.
L'éditeur d'antivirus russe a également découvert que le nombre de fuites d'identifiants et mots de passe des utilisateurs des services d'OpenAI, y compris ChatGPT, avaient été multipliées par 33 en 2023 : 3 807 en 2021, 20 348 en 2022 et 663 719 en 2023.
Kaspersky relève que le nombre de comptes Roblox compromis a, de son côté, augmenté de 231 %, passant d'environ 4 700 000 en 2021 à 15 500 000 en 2023.
« Les enfants font partie du public le plus vulnérable, car ils sont sensibles à différents types d'ingénierie sociale », explique Yuliya Novikova, responsable de Kaspersky Digital Footprint Intelligence. « Par exemple, les cybercriminels peuvent dissimuler des infostealers dans des fichiers contenant des codes de triche pour tromper les jeunes joueurs. Dans certains cas, cette tromperie peut sembler authentique, car des liens de téléchargement malveillants peuvent être affichés sur des plateformes de médias sociaux légitimes et populaires comme YouTube ».
Le nombre de posts sur le dark web vendant ou achetant des comptes Steam a de son côté atteint un pic d'environ 10 000 entre 2021 et 2023, alors que les annonces liées à des comptes Roblox volés sont pour leur part restées inférieures à 150.
« Les criminels ciblent les comptes de jeu pour voler des objets de valeur, tels que de l'argent réel, de la monnaie de jeu et divers objets de jeu, comme des skins coûteux », précise Novikova. « Les comptes Steam semblent plus attrayants pour les cybercriminels en raison de la possibilité d'y trouver et d'y voler de l'argent réel. Les comptes Roblox peuvent être exploités pour voler des Robux, la monnaie du jeu, ou des objets du jeu, ou encore pour accéder à des comptes premium qui permettent de transférer des objets vers d'autres comptes ».
Commentaires (3)
#1
En même temps, c'est le même.
Néanmoins, j'ai toujours considéré OpenAI comme extrêmement mauvais en matière de sécurité. Raison pour laquelle je ne recommencerai jamais son offre Enterprise. Les fuites ont été légion, et pourtant, toujours pas de MFA sur le compte. La feature avait été désactivée pour je ne sais quel raison et, à ma connaissance, toujours pas disponible.
Même si le MFA n'est pas une protection absolue - puisque ça n'existe pas - de nos jours c'est un minimum.
#1.1
Pourquoi ne pas passer par cette solution ?
#1.2
Dans le cas où l'on utilise aucun de ces trois providers, ça réduit drastiquement les options. Et je ne considère pas que cela soit un argument recevable pour avoir une authentification insuffisamment robuste sur sa plateforme.
Mais bon, ça arrivera. Il a fallu que GitHub se fasse poutrer plus d'une fois pour qu'ils renforcent la sécu. Donc il y aura bien une prise de conscience à un moment. Ou un injonction à faire.
Historique des modifications :
Posté le 04/03/2024 à 11h24
Les providers tiers ne sont que Microsoft, Google et Apple. Je n'ai pas vu d'autres intégration possible pour un IDP tiers dans les documentations en dehors de l'offre Chat GPT Enterprise qui parle de SAML SSO.
Dans le cas où l'on utilise aucun de ces trois providers, ça réduit drastiquement les options.