Flickr a informé ses utilisateurs d'un éventuel incident de sécurité touchant les renseignements personnels en raison de la vulnérabilité d'un fournisseur de services de courriel externe. Le réseau social photographique, actif depuis 2004 et avec des milliards d'images hébergées, a confirmé qu'il a fermé l'accès au système touché quelques heures après avoir été informé du problème, mais reconnaît que certaines données de ses membres ont pu être exposées.
Selon la communication envoyée aux personnes touchées, la fuite pourrait comprendre des noms réels, des adresses électroniques, des noms d'utilisateurs sur la plate-forme, un type de compte, des adresses IP, des données approximatives de localisation et des enregistrements d'activités dans Flickr. Parallèlement, la compagnie a déclaré qu'il n'y avait aucune preuve que les mots de passe et les numéros de carte de paiement aient été compromis dans cet incident. Vous pouvez voir la déclaration publiquement partagée par l'entreprise dans son message sur X (avant Twitter) Voilà..
Les nouvelles ont été recueillies par des médias spécialisés dans la cybersécurité, qui indiquent que Flickr ne voulait pas divulguer le nom du fournisseur de courrier concerné ou le nombre exact de comptes concernés. Cet hermétisme sur les tiers est courant dans les premières versions, mais c'est aussi l'une des parties les plus problématiques de ces incidents : lorsqu'une plateforme délègue des fonctions critiques à des fournisseurs externes, elle perd une partie du contrôle direct sur la sécurité et le flux d'information.
Il est important de mettre ce cas en contexte : Flickr est une communauté historique de la photographie en ligne avec des milliards de fichiers et une importante base d'utilisateurs. La dépendance à l'égard des services tiers pour des tâches telles que l'envoi de courriels transactionnels ou de notifications est une pratique répandue dans l'industrie, mais elle multiplie également la surface de l'attaque si ces fournisseurs présentent des vulnérabilités. Les organismes européens et les experts en cybersécurité avertissent depuis des années les risques de la chaîne d'approvisionnement numérique; en Europe, vous pouvez consulter des analyses et des guides sur l'Agence de cybersécurité de l'Union européenne ( ENISA).
Flickr a exhorté les utilisateurs touchés à revoir la configuration de leurs comptes pour des changements non autorisés et à maintenir une attitude vigilante à l'égard des tentatives d'hameçonnage qui utilisent l'information extraite du service. La société a réitéré qu'elle ne demandera jamais de mot de passe par la poste et a annoncé qu'elle enquêtait pleinement sur l'incident, qu'elle revoyait son architecture et qu'elle renforçait la surveillance des fournisseurs externes.
Si vous êtes un utilisateur de Flickr, il y a des mesures concrètes et pratiques qui devraient être prises dès maintenant. La première chose est d'inspecter votre propre dans le cas où il y a du contenu supprimé, des albums modifiés, des modifications dans les paramètres ou des ouvertures de session à partir d'emplacements inconnus. Si vous répétez le même mot de passe dans d'autres services, changez-le sans attendre; le risque le plus réel après une fuite de courriels et de noms est que les attaquants essaient de profiter des mêmes identifiants sur d'autres plateformes.
Il est également recommandé d'activer l'authentification de deux facteurs (2FA) lorsque le service l'offre, et d'utiliser un gestionnaire de mots de passe pour générer et stocker des clés uniques et fortes pour chaque compte. Ces pratiques réduisent considérablement la probabilité que l'accès non autorisé entraîne un enlèvement de compte ou un vol d'identité. Pour obtenir des conseils pratiques sur la façon de reconnaître les courriels et de vous protéger, des sources fiables comme la Federal Trade Commission des États-Unis expliquent les mesures à prendre dans votre guide sur les escroqueries par courriel ( FTC: Comment reconnaître et éviter le phishing), et en Espagne, l'Institut national de la cybersécurité (INCIBE) offre des ressources en espagnol aux utilisateurs touchés par la fraude en ligne ( INCIBE).
Au-delà des recommandations individuelles, cet incident rappelle aux entreprises et aux gestionnaires de produits que la sécurité des données ne se termine pas dans leur propre infrastructure : le choix, l'audit et la supervision continue des fournisseurs externes sont essentiels. Les organisations devraient exiger des contrats qui comprennent des clauses de sécurité, effectuer des évaluations régulières des risques et maintenir des plans d'intervention en cas d'incident qui prévoient l'identification et le confinement des défaillances de tiers.
D'un point de vue politique, les fuites de données à caractère personnel peuvent activer les obligations de déclaration aux autorités chargées de la protection des données et, dans certains cas, le droit des utilisateurs de recevoir des informations détaillées sur l'ampleur de l'incident. Si vous vivez dans l'Union européenne et que vous croyez que vos données personnelles ont été compromises, consultez les informations et les ressources de Conseil européen de la protection des données ou l'autorité de contrôle de votre pays pour connaître les mesures à prendre.
Enfin, il est approprié de rester calme mais pas de baisser votre garde. De nombreux incidents de ce genre entraînent des tentatives d'ingénierie sociale visant des utilisateurs exposés. Si vous recevez un courriel inattendu en demandant des informations, en offrant des remboursements ou en vous demandant de confirmer des données, évitez de cliquer sur des liens et vérifiez toujours l'adresse de l'expéditeur. En cas de doute, contactez le support de service officiel de votre web (pas des liens reçus par courriel) et modifiez les identifiants dans les services où vous répétez les mots de passe.
Flickr a souligné qu'il présente des excuses pour ce qui s'est passé et qu'il prend des mesures pour empêcher que quelque chose de semblable ne se reproduise. Alors que les enquêtes se poursuivent, la meilleure défense reste la combinaison de bonnes pratiques personnelles - mots de passe uniques et 2FA - et la pression constante sur les plateformes pour renforcer la supervision de leurs fournisseurs. Les détails de l'incident et la couverture médiatique sont disponibles dans des médias spécialisés, par exemple dans BleepingComputer ( article sur la notification Flickr) où des déclarations publiques et un suivi initial ont été recueillis.
La jeunesse ukrainienne de 18 ans dirige un réseau d'infostealers qui a violé 28 000 comptes et laissé 250 000 $ en pertes
Les autorités ukrainiennes, en coordination avec les agents américains. Ils se sont concentrés sur une opération de infostealer Selon la Cyber Police ukrainienne, Odessa aurait ...
Un seul jeton GitHub a ouvert la porte à la chaîne d'approvisionnement du logiciel
Un seul jeton GitHub a échoué dans la rotation et a ouvert la porte. C'est la conclusion centrale de l'incident dans Grafana Labs suite à la récente vague de paquets malveillant...
Mini Shai-Hulud : l'attaque qui a transformé les dépendances en vecteurs d'intrusion de masse
Résumé de l'incident : GitHub enquête sur l'accès non autorisé aux dépôts internes après que l'acteur connu sous le nom de TeamPCP ait mis le code source présumé et les organisa...
Fox Temper expose la fragilité de la signature numérique dans le cloud
La divulgation par Microsoft du fonctionnement de "malware-signing-as-a-service" connu comme Fox Temper remplace au centre la vulnérabilité la plus critique de l'écosystème logi...
Trapdoor: l'opération anti-dumping qui a transformé les applications Android en une usine automatique de revenus illicites
Les chercheurs en cybersécurité ont découvert une opération de fraude au dumping et à la publicité mobile Piège, qui transforme les installations d'application Android légitimes...
De l'avertissement à l'orchestration et à l'action de l'AI pour accélérer la réponse aux incidents de réseau
Les équipes informatiques et de sécurité vivent une réalité bien connue : un flot constant d'alertes des plateformes de surveillance, des systèmes d'infrastructure, des services...
Nx Console in check: comment une extension de productivité est devenue un vol d'identité et une menace pour la chaîne d'approvisionnement
Une attaque dirigée contre les développeurs a de nouveau révélé la fragilité de la chaîne d'approvisionnement du logiciel : l'extension Nx Console pour les éditeurs tels que Vis...