October 2017 : Security Breaches

The data security breaches occurred/disclosed in October 2017.

Disqus

DISQUSThe popular commenting system was breached in 2012. Disqus got notified by Troy Hunt, a security expert, who obtained a copy of the data. According to the company, the data exposed are from 2007 and involve 17.5 million users. Among the user’s information stolen include email addresses, usernames, sign-up dates and last logins. However, about one third or approximately 5.8 million users, also got their passwords in the wild. At least, the passwords were not in clear text but hashed with a salt with the now weak SHA-1 algorithm. They seem to have handled the situation well with a public disclosure in 24 hours and they asked the affected users to reset their password account. They have also mentioned that they are now using the bcrypt algorithm which is now the best practice.

Far Eastern International Bank

Far Eastern International BankA malware infected this Taiwanese bank which instructed the SWIFT terminal to move $60 million into different bank accounts based in Sri Lanka, Cambodia and the United States. SWIFT is the main global banking network where it is possible for banks to exchange funds between them. It is not the first time this situation occurs and a well-know breach occurred in 2016 with a Bangladesk bank where the attempt was to steal $951 million. The Far Eastern International Bank was able to retrieve most funds. Mostly since the breach in 2016, the SWIFT organization has developed a more stringent security requirements for their customers with the Customer Security Programme (CSP) but many banks are still in the process of getting certified.

Accenture

AccentureThis is another big name in the IT consulting industries. Accenture offers consulting services for the largest organizations and often seen as a leader in cloud consulting services. UpGuard reported that AWS S3 buckets were configured for public access. In total, 4 buckets were available for everyone. These buckets contained confidential API data, customer information, private keys, 40 000 passwords mainly in clear text and even logs from a monitoring solution. One bucket contained more than 137 gigabytes of data.

Yahoo!

Remember the data breach that occurred in 2013 at Yahoo? It was first disclosed by the company that someone had access to information on one billion accounts. This number was revised by Verizon, the now parent company of Yahoo, at 3 billion accounts. It was possible to retrieve the usual information such as names, email addresses and hashed passwords. Some hash would still be with the weak MD5 algorithm.

Hyatt Hotels

It was possible to obtain the information from cards manually entered or swiped at the front desk. This situation occurred between March 18, 2017, and July 2, 2017, in 41 properties across 11 countries. As expected, it was possible to get the cardholder name, card number, expiration date and verification code. This is the second security breach for this company.

Pizza Hut

About 60 000 customers might have been impacted by a security breach that would have occurred from the morning October 1, 2017, to midday October 2, 2017. Data including customer names, billing postal code, delivery addresses, email addresses, and payment card information. Pizza Hut notified by email customers impacted only 2 weeks after the situation and they are offering a free credit monitoring service for a year.

South Africa

66 million records were obtained on South African. What, wait, the population is only about 56 million people? The obtained database also included 9 million people with a deceased status. The database was openly available on a web server owned by Jigsaw Holdings and was probably bought from a credit bureau in 2014. Information available include South African ID number, name, gender, age, location, marital status, estimated income, address, phone numbers, employers, etc.

Patient Home Monitoring Corporation

An estimated 150,000 American patient files were available through an unsecured AWS S3 bucket. It is hard to know for how long this bucket was available with public access but Kromtech Security Researchers have discovered the breach on September 29, 2017. 47.5 gigabytes of data with about 316,000 PDF files including mainly blood test results. These documents contained names, addresses, contact information, dates of birth, diagnoses and names of physicians. All this information is strictly regulated by the Health Insurance Portability and Accountability Act (HIPAA).

Microsoft

When you are a major company who is developing software and hardware, you have a central database somewhere to track and document all vulnerabilities related to your products. Of course, this database contains critical information about your products and you probably prefer to keep it secret. Well, this database at Microsoft was hacked in 2013.

iDNS: Scam Going On for More Than 15 Years

iDNS renewal letterYou probably already received one of these letters if you have registered a domain name in the past few years. The company behind these letters is Brandon Gray Internet Services Inc. The worst part is the fact this is a legitimate organization registered and operating in Canada (Markham, Ontario). I thought for a long time it was only a scam here, but I recently discovered they also operate in the United States, Europe and Australia.

Operations Under Many Names

I got my first domain name in 2003 so I don’t exactly remember the first time I received one of these letters. However, I believe it was under the name, “Domain Registry of Canada”. They now seem to use more often iDNS as shown on the image. Over the years, they used many different reseller names under the parent company “Brandon Gray Internet Services” such as:

  • Namejuice
  • Domain Registry of Canada (DROC)
  • Internet Domain Name Services (iDNS)
  • Domain Registry of America (DROA)
  • Domain Renewal Group
  • Liberty Names of America
  • Domain Registry of Europe (DROE)
  • Domain Registry of Australia

Deceptive Message

The main concern is the deceptive message in these letters sent by mail. It is possible since postal addresses are freely available for each domain name with a WHOIS query. There is always the situation where the domain owner is using a privacy protection service but it is not always the case. The main objective is to trick the owner to renew the domain name with them. Nevertheless, this renewal also means the transfer of the domain to the new registrar. A situation that will definitely lead to future problems. The reseller names used can easily mislead the recipient to think they are an official government authority.

The business is totally unethical, but there is a grey zone worth mentioning. I believe the wording was updated throughout the years to be more… compliant with the law. However, it is still a deceptive message and can surely mislead a neophyte in the universe of domain names management.

Wording

In my opinion, you have all elements for a perfect scam. The message that would protect them: “This notice is not a bill, it is rather an easy means of payment should you decide to switch your domain name registration to Internet Domain Name Services” and “As a courtesy to domain name holders, we are sending you this notification of the domain name registration that is due to expire in the next few months“. A message to generate fear to the recipient: “Failure to renew your domain name by the expiration date may result in a loss of your online identity making it difficult for your customers and friends to locate you on the Web“. Finally, a possible new opportunity even if it is not true: “Privatization of Domain Registrations and Renewals now allows the consumer the choice of Registrars when initially registering and also when renewing a domain name“.

Legal

They have a long history of lawsuits and investigations following various complaints since the beginning with different regulators e.g. Competition Bureau of Canada, Advertising Standards Authority (ASA), Federal Trade Commission, ICANN and the Canadian Internet Registration Authority (CIRA). But also some lawsuits with other companies such as Tucows, Register.com and Deinternetman.

What Should You Do?

Nothing.

Their prices are even higher than the competition and you simply don’t want to write down your credit card information on a piece of paper. Be careful to the details. They are not even able to use a well-known TLD such as a .com. They are using a country code top-level domain .as (American Samoa) which is a redirection to the ccTLD .to (Tonga).

Unfortunately, this scam seems to be working since Brandon Gray Internet Services is still in operation and the scam is going on after more than 15 years. You will receive these letters a few times a year if you own more than one domain. The only solution for now is to throw it away. You have nothing to do. You could always complain to some authorities but I personally think it is not worth the time after so many years… However, be sure to still renew your domain name on time with your current registrar. In fact, you should simply activate the auto-renewal offer by most registrars.

Septembre 2017: Brèches de sécurité

This post was published when this blog was also in French. This post is available in English.

Septembre 2017 a été un mois intéressant pour plusieurs brèches importantes de sécurité. Nous avons tous appris la valeur de nos informations personnelles. À partir de maintenant, je vais publier un billet mensuel au sujet des brèches importantes de sécurité du mois précédent.

Equifax

Equifax est un des plus importants bureaux de crédits et ils ont eu un accès récurrent non autorisé à leurs systèmes du 13 mai au 30 juillet 2017. Les équipes techniques étaient même avisées de la principale vulnérabilité exploitée puisqu’une note a même été distribuée à l’interne le 9 mars afin de corriger celle-ci (Apache Structs CVE-2017-5638). L’équipe de sécurité a détecté la situation uniquement le 29 juillet. Le PDG a appris la situation le 31 juillet et les administrateurs ont obtenu les informations le 24 et 25 aout. Finalement, c’est seulement le 7 septembre que Equifax a divulgué publiquement la brèche de sécurité.

143 millions (143 000 000, oui, avec six zéros) enregistrements sur des citoyens américains ont été obtenus, incluant noms, numéros d’assurance sociale (NAS), dates de naissance, et même certains permis de conduire. Après l’investigation par une firme de sécurité, le nombre final est de 145.5 millions, et inclut maintenant des numéros de cartes de crédit pour environ 209 000 clients. Au Canada, on est un peu plus chanceux puisque le nombre initial était de 100 000 clients, mais après investigation, le nombre révisé est de “seulement” 8 000 clients.

Le PDG a pris une retraite anticipée avec plusieurs exécutifs incluant le Chief Information Officer (CIO) et le Chief Security Officer (CSO). Equifax sera également la cible de plusieurs poursuites judiciaires, autant aux États-Unis qu’au Canada. L’ancien PDG devra même témoigner devant le Congrès américain. Il y a aussi quelques interrogations des régulateurs suite à la vente des actions de certains exécutifs lors de la détection de la brèche de sécurité. Toutefois, ces transactions ont été effectuées avant la divulgation publique de la situation et ces personnes pourraient donc faire face à des accusations pour délits d’initiés.

US Securities and Exchange Commission (SEC)

Cette agence fédérale américaine est principalement responsable de faire respecter les lois sur les valeurs mobilières et de réglementer cette industrie. La Commission a découvert une vulnérabilité applicative en 2016 et a été “rapidement” corrigée. Toutefois, la SEC a divulgué un incident possible puisqu’il aurait possiblement eu un accès non autorisé avant de mettre en place le correctif. Cette fois-ci, aucun accès à des renseignements personnels, mais à des informations sensibles n’étant pas encore publiques sur des compagnies. Une déclaration officielle a été publiée le 21 septembre.

Deloitte

Une des firmes comptables parmi les “Big 4” a aussi été la cible ce mois-ci. La nouvelle a été publiée par le Guardian le 25 septembre. Deloitte est souvent la firme, parmi les “Big 4”, la plus reconnue pour ses services en cybersécurité. Les clients de la firme incluent 80% des organisations du Fortune 500. Il y a eu un accès non autorisé sur le serveur global de courriels de la firme hébergé avec le service infonuagique de Microsoft Azure. Et ce, probablement depuis octobre ou novembre 2016.

Rien de trop compliqué cette fois, les pirates informatiques ont simplement obtenu les informations de connexion concernant un compte administrateur. Par la suite, il était possible de se connecter directement au serveur de courriels ayant un accès aux courriels des 244 000 employés de Deloitte. Plusieurs courriels devaient probablement contenir plusieurs informations sensibles sur leurs clients et même des pièces jointes intéressantes. Le système n’a pas été compromis avec des connaissances techniques avancées, mais bien par des techniques d’ingénierie sociale dans le but d’obtenir les informations de connexion. De plus, sans authentification à deux facteurs (2FA), il était simple de se connecter à distance.

Sonic

Sonic est une chaine importante de restauration rapide aux États-Unis avec près de 3600 restaurants. Brian Krebs a été le premier à signaler cette brèche de sécurité le 26 septembre. En fait, le processeur de paiement pour les cartes de crédit de la chaine a informé celle-ci des activités inhabituelles en lien avec leurs transactions. Le détail de cette brèche de sécurité n’est pas encore connu. Toutefois, il a été possible de retrouver au moins 5 millions de comptes de cartes de crédit et débit en vente en ligne. Ces comptes sont fort probablement en lien avec la brèche chez Sonic.

Whole Foods Market

Whole Foods Market, qui a été acheté par Amazon, a aussi divulgué le 28 septembre que des informations sur les cartes de paiement ont été volées. L’investigation est toujours en cours et on devrait en savoir plus bientôt. Il y a un point très intéressant qui a été mentionné dans le communiqué de presse et c’est le fait que les systèmes en lien avec Amazon.com ne sont pas connectés à ceux de Whole Foods. J’espère bien pour eux, mais bon, ça valait la peine de préciser cette information.

September 2017: Security Breaches

September 2017 has been an interesting month for many important security breaches. We all learned the value of our personal information. From now, I will publish a monthly post about the major security breaches from the previous month.

Equifax

Equifax is a consumer credit reporting agency and they had a recurrent unauthorized access to their systems from May 13th to July 30th. The technical teams knew about the vulnerability exploited since they even got a memo on March 9th to patch it (Apache Structs CVE-2017-5638). Even then, the security team detected the situation only on July 29th. The CEO learned about the situation on July 31st. The board of directors got the news on August 24th and 25th. It is only on September 7th that Equifax disclosed the security breach to the public.

143 million (143 000 000, yes, six zeros) records on Americans were stolen, including names, social insurance numbers (SIN), dates of birth, and even some driver licences. After the investigation, it is now 145.5 million, and now including some credit card numbers for 209 000 consumers. In Canada, we are a little luckier since it was at first announced to be 100 000 consumers impacted, but the revised number after the investigation was more 8 000 consumers.

The CEO took an early retirement with many executives including the Chief Information Officer (CIO) and Chief Security Officer (CSO). Equifax will also face many lawsuits in both Canada and the US. The then CEO will even have to testify in front of Congress. There are also some interrogations about executives selling their stock options following the detection of the security breach. Since the hack was not publicly disclosed, these people could face charges for insider trading.

US Securities and Exchange Commission (SEC)

This US federal agency is mainly responsible for enforcing securities laws and regulating the securities industry. The Commission discovered a software vulnerability in 2016 and was “promptly” patched. However, the SEC disclosed a possible incident since they believe that an unauthorized access still occurred before being able to apply the patch. No access to personally identifiable information (PII), but sensitive nonpublic information related to companies. An official statement was published on September 21st.

Deloitte

One of the “Big 4” accountancy firms was also targeted this month. The news was published by the Guardian on September 25th. Deloitte is often the firm, among the Big 4, which is the most well-known for their services in cybersecurity. The firm’s clients include 80 percent of the Fortune 500. The unauthorized access occurred on the firm’s global email server hosted on Microsoft Azure. And this, probably since October or November 2016.

Nothing too complicated this time, hackers simply got an administrative account credential. After that, it was possible to login directly on the email server accessing emails to and from Deloitte’s 244,000 staff. Many of these emails probably contain sensitive information about their clients and even, some interesting attachments. The system was not compromised in a technical manner, but simply by social engineering technique in order to obtain credentials. Furthermore, without two-factor authentication (2FA), it was easy to login remotely.

Sonic

Sonic is a major fast-food chain in the US with nearly 3 600 locations. Brian Krebs was the first one to report this security breach on September 26th. Their credit card processor informed them about unusual activity related to their transactions. It is still unclear how the security breach occurred. However, it was possible to find at least 5 million credit and debit card accounts for sale online. These are probably related to the Sonic security breach.

Whole Foods Market

Whole Foods Market, which is owned by Amazon, also disclosed on September 28th that some payment card information had been stolen. The investigation is still ongoing, and we should have more information soon. An interesting point mentioned in the press release is the fact that Amazon.com systems are not connected to the ones at Whole Foods.

Kantoku: Fin du projet et retour possible

This post was published when this blog was also in French. This post is available in English.

Kantoku logoKantoku était une application autohébergée pour les entreprises afin de pouvoir gérer facilement leur gouvernance, risque et conformité TI (GRC). Comme mentionné dans une publication précédente, j’ai développé cette application pendant les premiers mois de 2016. Au début du projet, c’était une solution Software-as-a-Service (SaaS) avec une infrastructure en haute disponibilité sur AWS. Toutefois, j’avais rapidement décidé de retirer cette infrastructure en arrière de la solution SaaS. Principalement une question de priorités dans mes projets. Dans le but de garder le projet actif, une alternative était de toujours offrir Kantoku, mais en tant qu’application autohébergée. Dans ce cas, il était possible pour les entreprises de faire l’acquisition d’une licence et d’installer l’application sur ses propres serveurs.

Fin du projet

J’ai principalement développé cette application pour aider les petites et moyennes entreprises (PME) à gérer plus efficacement leur GRC TI. Même les PME ont des exigences de conformité à respecter. Ma stratégie était de pouvoir cibler un marché très spécifique afin d’offrir une alternative aux autres solutions pour les grandes entreprises. Une application plus simple et abordable pour tous. C’était aussi un complément intéressant de mes services-conseils. Toutefois, j’ai oublié de considérer les deux situations suivantes:

Petites et Moyennes Entreprises

Les PME sont déjà chanceux s’ils ont une personne à l’interne qui est conscient des principaux concepts de la GRC TI. Ils ont possiblement un consultant qui s’occupe de mettre en place les éléments de la GRC. C’est probablement plus rentable pour les entreprises qu’avoir un employé à temps plein. Leurs besoins de GRC ne sont donc souvent pas suffisamment complexes pour justifier l’implémentation d’une application dédiée. Ils préfèrent travailler avec plusieurs documents et ne pas perdre trop de temps à apprendre une nouvelle application. Les PME ne voient pas nécessairement les bénéfices à surveiller leur GRC et je peux très bien comprendre. Ils doivent se concentrer sur les principaux besoins de leurs organisations où il sera possible de générer de nouveau revenu.

Je dois aussi admettre que la vente n’est pas nécessairement une de mes forces. Je dois vraiment être convaincu que mon produit et/ou service sera bénéfique pour le client. Sinon, je ne veux pas vendre n’importe quoi à mes clients et ce n’était malheureusement pas le cas avec Kantoku. La plupart des entreprises ont principalement un besoin en services-conseils sur leurs stratégies de GRC. Évidemment, je vois un avantage pour eux d’avoir un consultant externe pour les guider dans cet univers. Pas une application qu’ils vont à peine savoir utiliser. Si je dois insister trop dans mes explications à propos des fonctionnalités d’une solution, peut-être que ce n’est pas la bonne solution pour le client.

Grandes Organisations

Pour les grandes organisations, ils ont souvent le budget pour acquérir une solution bien connue avec toutes les fonctionnalités avancées tel que RSA Archer, Resolver, MetricStream, Reciprocity, etc. C’est vraiment difficile de compétitionner avec des solutions qui coutent plus que juste quelques milliers. De plus, ces organisations ne vont pas faire la différence entre les solutions. Ils recherchent les mêmes fonctionnalités, peu importe la solution, et c’est compréhensible.

Retour possible

Tel que mentionné précédemment, même si je suis vraiment fier de cette application de GRC TI, Kantoku ne sera plus offert. Une autre raison est aussi que mes projets en lien avec la vie professionnelle sont tous autour de la GRC TI et j’ai simplement besoin d’un projet dans un domaine différent afin de me diversifier un peu. C’est aussi important pour moi de rester indépendant lorsque c’est le temps d’offrir mes services en consultation. Je ne peux pas offrir une solution et être impartial avec les autres solutions existantes. Il y a aussi une solution alternative “open source” bien intéressante, Eramba. Ça pourrait définitivement être une alternative pour plusieurs PME avec un intérêt envers leur GRC TI. J’ai eu l’occasion d’échanger quelques courriels avec le fondateur et j’aurais une préférence de collaborer avec eux dans le futur.

Pourquoi un retour possible? Je travaille déjà sur un autre projet, mais je ne veux pas en mentionner trop pour le moment. Ça ne sera pas une application dans un marché précis, tout simplement parce qu’il existe déjà plusieurs autres applications similaires. Toutefois, je ne suis toujours pas satisfait des solutions existantes. Cette fois, ça sera une solution SaaS et je vais probablement utiliser de nouveau le nom de domaine “kantoku.io”.