Friday, October 25, 2024

Imagine a Vulnerability Testing tool that defaults to showing you partial results

Well, to my surprise, Tenable.IO has added a new setting that defaults to NOT showing you everything.

So when creating a new scan, you are faced with this new option:

That reads:  

SCAN FOR UNPATCHED VULNERABILITIES (no patches or mitigation available)

Now, once you know this setting exists and it is OFF by default you can obviously set it to ON when you create a new scan.   You can also retrain everyone using the tool so they do the same.

You are still left with TWO major issues.

The least important one:  Human error.   I still accidentally create scans today that have the SHOW SUPERSEDED setting still ON by default because Tenable sets that very very stupid setting to ON by default.  So I and others will certainly launch scans that have this new (and equally stupid) setting OFF and potentially get partial results without knowing it.

The MOST important issue:  All your past scan tasks are now set to OFF on this setting.   This means that for every client we manage, and every scan task (for us, this totals tens of thousands of scan tasks), we have to open each one and set this setting to ON.


What the heck Tenable.  You are a vulnerability assessment and reporting tool.  And in my opinion, this is your main mission regardless of if a fix is published.  

If I have a critical and exploitable vulnerability on a critical system, I want to know so I can decide how I will mitigate that risk.  

Will I turn the system off, will I investigate the issue and see if my other countermeasures can be tuned to reduce this risk, these are risk management decisions that fall outside of your responsibility.  

Your job is to report on vulnerabilities regardless of how easy they are to address and stopping to do this by default is a grave failure.

I am 100% AGAINST THIS SETTING being off by default.  It should be an individual decision taken by your clients.  That setting equates to wanting to be willfully blind.  Today we are told it applies to Red Hat only, but who knows for the future.

I remain stunned that this makes it into production.  If you are going to add new settings that can have large impacts like this, we should also be able to set it globally and not have to do this task by task.

So Tenable users.....

Below is the full panel so that if you decide you want to cancel Christmas and go through all your scan tasks you can easily find this new setting and start clicking.

Or, write me a note, as we will write software to call the API and do this automatically since I am not going to subject myself or my staff to do this manually.

@EVA Team, please add this to our TFCT (Tenable Failure Compensation Tool) that we keep coding to address the shortcomings of this commercial solution.

NOTE:  All these commercial solutions have short comings.  So keep in mind that when I write a negative blog post about Tenable, I do it as therapy and to push Tenable (one of my key partners) to get their act together and stop taking less then ideal decisions.  Since we work with many other tools, I can tell you with great certitude that they all have a long list of short comings.

 


 

----------------------------------

Eric Parent is a senior security expert, specialized in coaching senior executives.  He occasionally teaches CyberSecurity at l'Ecole Polytechnique and HEC Universities in Montreal, and is CEO of Logicnet/EVA-Technologies, one of Canada's oldest privately owned security companies.


Follow Eric on:

Twitter @ericparent

LinkedIn :  EVA-Technologies

www.eva-technologies.com

Thursday, June 13, 2024

----- ENGLISH FOLLOWS

Un cas intéressant d'exposition de données à l'UDA.


Le site web comprenait une seule ligne de texte qui pouvait totaliser plusieurs centaines de kilo-octets et qui était essentiellement un morceau de la base de données.

La bonne nouvelle, c'est qu'il est très probable que personne de malveillant n'ait eu connaissance de ce problème ou ne l'ait exploité.


Le problème a été découvert par des chercheurs en sécurité travaillant sur un projet de scrapping web.


Le problème a été soulevé par un journaliste qui a contacté l'UDA, qui a immédiatement résolu le problème. L'article a ensuite été publié par LaPresse.

J'ai enregistré une brève présentation de haut niveau du problème.


----- ENGLISH

An interesting case with a security exposure at the UDA.


The website, included a single line of text that could total several 100 kilobytes and was essentially a chunk of the backend database.

The good news is that it is most likely that no one malicious knew of this issue or leveraged it.


The issue was found by security researchers working on a web scrapping project.


The issue was brought forth by a journalist who contacted the UDA, and they immediately resolved the issue. The article was then published by LaPresse.

I recorded a short high level walkthrough of the issue.

 ------------

LaPresse, 13 juin 2024


 
 

 
 

-------------

Eric Parent est un expert en sécurité, spécialisé dans le coaching de cadres supérieurs.  Il enseigne occasionnellement la cybersécurité à l'Ecole Polytechnique et aux HEC à Montréal, et est PDG de Logicnet/EVA-Technologies, l'une des plus anciennes sociétés privées de sécurité au Canada.


Suivez Eric sur :

Twitter : @ericparent

LinkedIn : EVA-Technologies



Tuesday, May 7, 2024

Disposerons-nous un jour d'une carte d'identité numérique provinciale qui sécurise réellement vos opérations bancaires ?

 

J'ai fait une entrevue ce matin sur QUB Radio basée sur un article du Journal de Montréal qui a été publié aujourd'hui et qui discute du plan du gouvernement pour arrêter le projet d'identité numérique de la province de Québec.

 

ARTICLE JOURNAL DE MONTREAL


Je me suis permis quelques remarques astucieuses parce que la situation de la dernière année en ce qui concerne tout ce qui a trait au gouvernement est risible.

 



Il s'avère que l'article original était un peu à côté de la vérité et que le projet d'identification numérique dans son ensemble n'est pas en fait repoussé, mais surtout les services adjacents que le gouvernement a promis d'offrir.  L'application mobile avec les services du gouvernement et des choses de cette nature.

J'ai dit que le gouvernement était comme un poulet sans tête et je maintiens cette déclaration.

Ce qui va continuer à m'irriter, c'est exactement ça.

Le citoyen typique ne se soucie pas que tous les services du gouvernement soient sur une seule application mobile.

Oui, le citoyen typique aimerait avoir des sites Web gouvernementaux bien définis, clairs et faciles à utiliser, et l'itération actuelle de ces services et les services ClicSequr sont un échec.

Mais ce que veut la personne en chair et en os, ce sont des services bancaires sécurisés et une protection contre l'usurpation d'identité résultant de l'utilisation d'une forme numérique d'identification.

Aujourd'hui, les gens ouvrent encore des comptes bancaires ou obtiennent de nouvelles cartes de crédit en utilisant leur numéro d'assurance sociale et un faux permis de conduire.

L'identification et la protection numériques, c'est ce que les gens veulent parce que c'est ce dont ils ont BESOIN !

Découvrir qu'un criminel a ouvert un nouveau compte bancaire à ton nom ruine une partie de ta vie.  Cela peut prendre plus d'un an pour résoudre ce problème.

Alors, qu'est-ce que le gouvernement fait de mal ?

C'est simple...

Tout d'abord, il pense qu'il s'agit d'une affaire québécoise.  Ce n'est pas le cas.  C'est une affaire canadienne.  Les provinces devraient s'unir et pousser le gouvernement fédéral à prendre ses responsabilités et à contribuer à la solution.

Les banques sont soumises à une charte fédérale.... le gouvernement fédéral doit forcer les banques à suivre les nouvelles règles.

Cela signifie des sanctions sévères si tu ouvres un compte bancaire pour la mauvaise personne parce que tu n'as pas suivi les règles d'identification numérique.  Et comme je l'ai dit à maintes reprises, il ne s'agit pas seulement de pénalités pour les entreprises, mais aussi de pénalités personnelles pour les cadres supérieurs lorsque leur entreprise soutient la fraude (est négligente).

Imagine un scénario dans lequel une personne entre dans une banque pour ouvrir un nouveau compte ou obtenir une nouvelle carte de crédit, et tu sors ta carte d'identité gouvernementale qui est en fait une carte d'identité numérique (oublie l'application mobile, opte pour le format de base).  Le commis scanne ta pièce d'identité, le système de la banque se connecte au système d'identification numérique du gouvernement et ta photo s'affiche pour confirmer que tu es bien la bonne personne.

 C'est très simple.  Sur tu peux ajouter des mesures supplémentaires en fonction de ce qui est demandé.   Si tu encaisses un chèque de 5 $, il n'y a pas beaucoup de stress, mais si tu essaies d'encaisser un chèque de 100 000 $, tu peux peut-être ajouter des mesures de sécurité supplémentaires.

C'est ce qui changerait la menace à laquelle nous sommes confrontés aujourd'hui.

Pourtant, aucun politicien n'en parle.

Tout d'abord, il s'agit d'un problème de société qui devrait être traité quel que soit le politicien au pouvoir.  Nous devons régler ce problème.

Mais comme les politiciens utilisent constamment ces thèmes pour obtenir une opinion publique positive afin d'assurer leur prochaine élection, rien de concret n'est fait.

C'est pourquoi les cyber-experts se tiennent généralement à l'écart des contrats gouvernementaux : trop de paroles et pas assez d'actions.

Il est évident que certaines personnes adorent les contrats gouvernementaux, parce qu'ils sont une source inépuisable d'argent, avec des demandes de changement qui se succèdent les unes aux autres.

Mais les vrais experts en cybersécurité le font d'abord pour la sécurité et non pour l'argent, et nous continuons à nous moquer de ces projets qui n'apportent pas la valeur réelle attendue.

-------------

Eric Parent est un expert en sécurité, spécialisé dans le coaching de cadres supérieurs.  Il enseigne occasionnellement la cybersécurité à l'Ecole Polytechnique et aux HEC à Montréal, et est PDG de Logicnet/EVA-Technologies, l'une des plus anciennes sociétés privées de sécurité au Canada.


Suivez Eric sur :

Twitter : @ericparent

LinkedIn : EVA-Technologies



Wednesday, September 7, 2022

Are we even trying over at BRP

This will be a short blog entry.  Essentially, a general observation.


If your enterprise was breached and screenshots of user account passwords posted on the Internet or dark web..... would you minimally ask the effected users to at least change their passwords?


I'm asking for a friend.... or a friend who has invested in a traded company who recently had a breach.


Well, the breach was almost a month ago, but today, if you take the usernames and passwords that had been publicly posted by the attackers (RansomeXXX) several weeks ago..... these accounts still work.  


The passwords have not been changed on a dozen of the accounts sampled by a Hacker called NothingCh@nges3113.


I wonder if the PornHub account passwords have been changed.......


BRB




All joking aside, obviously senior management and staff in general are busy getting back to work after a significant security breach, but appearances being important, they really should tell the staff to change their passwords, use quality passwords in the future (as many of the ones exposed are rather poor in quality), and activate MFA for the services who have this option (which most do)


_______________________________________________


Eric Parent is a senior security expert, specialized in coaching senior executives.  He occasionally teaches CyberSecurity at l'Ecole Polytechnique and HEC Universities in Montreal, and is CEO of Logicnet/EVA-Technologies, one of Canada's oldest privately owned security companies.


Follow Eric on:

Twitter @ericparent

LinkedIn :  EVA-Technologies


Friday, October 29, 2021

Municipal elections, your data once again exposed

Some big news in the last 24 hours. An entire new minister for cybersecurity!


I can’t wait to see what my colleagues will be saying about this news.


I do see some issues.  After all, that is what security professionals do, we look, we find weaknesses and we talk about these weaknesses hoping that someone will listen and take charge. 


Overall, this is hopefully great news.  Having an entire minister assigned to cyber should change some things. 


The current changes target only government entities, and the depth still needs some work.


I have two concrete issues following my analysis of the 28 page document.


MUNICIPAL ELECTIONS

Quebec is entering an election period across all municipalities.  Historically, elections bring out some unethical people.  People that will go door to door making up stories and lies to gather support and votes to push out the other candidates.  These ethically and morally challenged individuals only require 5 signatures to get their names on the list for most municipalities across Quebec (for example Cities of less then 10,000) and guess what they all get…. a full list of all registered voteres INCLUDING their full birthdates !


Wait…. did you just read that correctly….. the same issue with data leakage that we blame everyone for is taking place again at the end of 2021 across all cities in the province !  YES !  

Groundhog day version 2.0


So in Montreal, an excel spreadsheet of over 1 million names is being shared by various candidates, staff and interns and it holds your full birthdate even though there really is no use or need for it.


I think this should be looked at by a futur minister of cybersecurity


IDENTITY THEFT

The second example is the banking, Equifax and finance sector that remains clearly out of scope since this initiative targets government entities only.


Banks and their senior managers need to be personally liable if they give credit or open an account to the wrong person.  Relying on birthdates and social insurance numbers that have literally fallen from the sky over the last few years is ludicrous. 


We need a digital ID for all important services and that means banking and finance should be a priority.  This is where identify theft strikes the most.


The cyber security industry has proven that we can get the ear of the government, we need to keep pushing.  As it stands, this new announcement does not actually change much since most things that impact the citizen is related to identity theft and this is not addressed outside of the government entities covered in the current announcement.


A part of me feels more like this 4 billion dollar investment is more a cleanup of the current disaster that is Information Technology within the government.  Regardless, it needs to get done, the government does need to clean their information technology hygiene 


Minister Eric Caire, excellent first step, do not stop now.


Related interviews (French):

RADIO CANADA: https://ici.radio-canada.ca/util/postier/suggerer-go.asp?nID=4733866

QUB RADIO: https://www.qub.ca/radio/balado/genevieve-pettersen?track=1059632448

_______________________________________________


Eric Parent is a senior security expert, specialized in coaching senior executives.  He occasionally teaches CyberSecurity at l'Ecole Polytechnique and HEC Universities in Montreal, and is CEO of Logicnet/EVA-Technologies, one of Canada's oldest privately owned security companies.


Follow Eric on:

Twitter @ericparent

LinkedIn :  EVA-Technologies


Élections municipales, vos données à nouveau exposées

Une grande announce !   Un tout nouveau ministre pour la cybersécurité !


J'ai hâte de voir ce que mes collègues vont dire de cette nouvelle.


Je vois quelques problèmes.  Après tout, c'est ce que font les professionnels de la sécurité, nous regardons, nous trouvons des faiblesses et nous parlons de ces faiblesses en espérant que quelqu'un écoutera et prendra les choses en main. 


Dans l'ensemble, j'espère que c'est une bonne nouvelle.  Le fait qu'un ministre entier soit affecté à la cybersécurité devrait changer certaines choses. 


Les changements actuels ne visent que les entités gouvernementales, mais la profondeur a encore besoin d'être travaillée.


J'ai deux commentaires à faire après avoir analysé le document de 28 pages.


ÉLECTION MUNICIPALE

Le Québec entre dans une période électorale dans toutes les municipalités.  Historiquement, les élections font ressortir certaines personnes malhonnêtes. Des gens qui vont faire du porte-à-porte en inventant des histoires et des mensonges pour obtenir des appuis et des votes afin d'écarter les autres candidats.   Ces personnes qui ont des problèmes d'éthique et de moralité n'ont besoin que de 5 signatures pour faire inscrire leur nom sur la liste de la plupart des municipalités du Québec (par exemple les villes de moins de 10 000 habitants) et devinez ce qu'elles obtiennent toutes : .... une liste complète de tous les électeurs inscrits, y compris leur date de naissance complète !

Attendez.... est-ce que vous venez de lire ça correctement..... le même problème de fuite de données pour lequel nous blâmons tout le monde a lieu en 2021 dans toutes les villes de la province !  OUI !  



Le jour de la marmotte 2.0

Ainsi, à Montréal, un chiffrier Excel contenant plus d'un million de noms est partagé par divers candidats, membres du personnel et stagiaires, et il contient votre date de naissance complète alors qu'elle n'est ni utile ni nécessaire.

Je pense que cela devrait être examiné par un futur ministre de la cybersécurité.


VOL D'IDENTITÉ

Le deuxième exemple est le secteur bancaire, Equiflop et financier qui reste clairement hors de portée puisque cette initiative ne vise que les entités gouvernementales.


Les banques et leurs cadres supérieurs doivent être personnellement responsables s'ils accordent un crédit ou ouvrent un compte à la mauvaise personne.  Il est ridicule de se fier aux dates de naissance et aux numéros d'assurance sociale qui sont littéralement tombés du ciel au cours des dernières années. 

Nous avons besoin d'une identité numérique pour tous les services importants et cela signifie que les banques et le secteur financier doivent être une priorité.  C'est là que le vol d'identité frappe le plus.

Le secteur de la cybersécurité a prouvé que nous pouvions obtenir l'oreille du gouvernement, nous devons continuer à faire pression.  En l'état actuel des choses, cette nouvelle annonce ne change pas grand-chose puisque la plupart des choses qui ont un impact sur le citoyen sont liées à l'usurpation d'identité et que cela n'est pas abordé en dehors des entités gouvernementales couvertes par l'annonce actuelle.

Une partie de moi pense que cet investissement de 4 milliards de dollars est plutôt un nettoyage du désastre actuel qu'est la technologie de l'information au sein du gouvernement.  Quoi qu'il en soit, il faut que cela soit fait, le gouvernement a besoin de nettoyer son hygiène informatique. 

Ministre Eric Caire, excellent premier pas, ne vous arrêtez pas maintenant.


Discussions et entrevues

RADIO CANADA: https://ici.radio-canada.ca/util/postier/suggerer-go.asp?nID=4733866

QUB RADIO: https://www.qub.ca/radio/balado/genevieve-pettersen?track=1059632448

-------------

Eric Parent est un expert en sécurité, spécialisé dans le coaching de cadres supérieurs.  Il enseigne occasionnellement la cybersécurité à l'Ecole Polytechnique et aux HEC à Montréal, et est PDG de Logicnet/EVA-Technologies, l'une des plus anciennes sociétés privées de sécurité au Canada.


Suivez Eric sur :

Twitter : @ericparent

LinkedIn : EVA-Technologies

Friday, August 13, 2021

The vaccin passport is a failure - Our government should really talk with some experts

The Quebec vaccin passport project was doomed from the start.




Clearly no security expert was consulted or listened too prior to launching this eminent failure.


The system deployed builds on the governments failure to provide any form of digital ID and limit the damages of identity theft.  After all, today, your birthday remains a very confidential piece of information…. that everyone knows.


Security experts are supposed to look at the entire process and assist a project so that the overall results are favourable based on calculated risks at each step.


Here is what should have been considered as an alternative.


First, let's understand that the current system involves an application used by businesses that does not talk to a central system.  Let's put aside that it is possible to obtain a false QR code (based on falsified vaccination paperwork), the QR codes contain sensitive information such as birthdates that we now accept will be "scanned".  This approach also transfers the burden of authentication to every business operator, as they now MUST ask everyone for ID so that they can check that the QR code matches the individual.  Let's put aside that If I recall it is not even legal or acceptable to ask for a drivers license and that there is no way to check with a central system if the code is for the person in front of you.  Pushing the authentication of the person and the validity of the QR code down to the business owner is literally the stupidness thing an expected secure system could do and expecting it to work is even more ridiculous.


The system could have been this:


1) A QR Code that is a fully random key

2) An application that reads the code and consults a central database to validate that this code is valid

3) The application then displays the photo of the individual taken from the RAMQ system since almost everyone has their photo already in that system.


Voila!   The business owner no longer has to ask people for ID and the if the person in front of them matches the picture, then that person is vaccinated and compliant.


The only issue left to resolve would be how to handle the people who are not in the RAMQ system, and sending these folks to the SAAQ with their proof of vaccination so they can have their photo taken does not seem that complex.  If it is, then having a few regional offices that offer the service certainly is attainable.


Bottom line, this system is a failure and unless some changes are made, will be a major pain in the ass for all business owners.


Let's hope that the Canadian and international versions learn from these mistakes and do not continue in this direction.


_______________________________________________


Eric Parent is a senior security expert, specialized in coaching senior executives.  He occasionally teaches CyberSecurity at l'Ecole Polytechnique and HEC Universities in Montreal, and is CEO of Logicnet/EVA-Technologies, one of Canada's oldest privately owned security companies.


Follow Eric on:

Twitter @ericparent

LinkedIn :  EVA-Technologies



Le passeport-vaccin est un échec - Notre gouvernement devrait vraiment discuter avec des experts.

Le projet de passeport vaccinal du Québec était voué à l'échec dès le départ.



Il est clair qu'aucun expert en sécurité n'a été consulté ou écouté avant de lancer ce projet défaillant.

Le système déployé s'appuie sur l'incapacité du gouvernement à fournir une quelconque forme d'identification numérique et à limiter les dommages liés au vol d'identité.  Après tout, aujourd'hui, votre date de naissance reste une information très confidentielle.... que tout le monde connaît.


Les experts en sécurité sont censés examiner l'ensemble du processus et assister un projet de manière à ce que les résultats globaux soient favorables, en fonction des risques calculés à chaque étape.


Voici ce qui aurait dû être considéré comme une alternative.


Tout d'abord, comprenons que le système actuel implique une application utilisée par les entreprises qui ne communique pas avec un système central.  Laissons de côté le fait que l'obtention d'un faux code QR est possible (par le biais de documents de vaccination falsifiés), les codes QR contiennent des informations sensibles comme les dates de naissance, et il sera désormais acceptable que les gens "scannent" ces informations.  Cette approche transfère également la charge de l'authentification à chaque opérateur commercial, puisqu'il DOIT désormais demander à chacun une pièce d'identité afin de pouvoir vérifier que le code QR correspond à la personne.  Mettons de côté le fait que, si je me souviens bien, il n'est même pas légal ou acceptable de demander un permis de conduire, et que le code QR est a aucun moyen de vérifier avec un système central si le code est le bon.  Pousser l'authentification de la personne et la validité du code QR vers le propriétaire de l'entreprise est littéralement la chose la plus stupide qu'un système censé être sécurisé puisse faire et s'attendre à ce que cela fonctionne est encore plus ridicule.


Le système aurait pu être le suivant :


1) Un QR Code qui est une clé totalement aléatoire.

2) Une application qui lit le code et consulte une base de données centrale pour valider que ce code est valide.

3) L'application affiche alors la photo de l'individu prise dans le système de la RAMQ puisque presque tout le monde a déjà sa photo dans ce système.


Voilà !   Le propriétaire du commerce n'a plus à demander aux gens une pièce d'identité et si la personne devant lui correspond à la photo, alors cette personne est vaccinée et conforme.


La seule question à résoudre serait de savoir comment traiter les personnes qui ne sont pas dans le système de la RAMQ, et envoyer ces personnes à la SAAQ avec leur preuve de vaccination pour qu'elles puissent se faire photographier ne semble pas si complexe.  Si c'est le cas, il est certainement possible d'avoir quelques bureaux régionaux qui offrent ce service.


En fin de compte, ce système est un échec et, à moins que des changements ne soient apportés, il sera une véritable plaie pour tous les propriétaires d'entreprises.


Espérons que les versions canadienne et internationale apprennent de ces erreurs et ne continuent pas dans cette direction.

_______________________________________________


Eric Parent est un expert en sécurité, spécialisé dans le coaching de cadres supérieurs.  Il enseigne occasionnellement la cybersécurité à l'Ecole Polytechnique et aux HEC à Montréal, et est PDG de Logicnet/EVA-Technologies, l'une des plus anciennes sociétés privées de sécurité au Canada.


Suivez Eric sur :

Twitter : @ericparent

LinkedIn : EVA-Technologies


Friday, July 23, 2021

The obvious and predictable failure of QR code vaccin evidence

 I haven't written in a long time, and it is Friday with plenty of subjects to explore!


I have given a few interviews about the QR code idea that the government was floating and that has now become reality.  I called it from the start, the government was going to mess it up to the max.

PREUVE VACCINALE ET CODE QR (FRENCH)



Well, guess what folks, the government didn't just deliver the Hindenburg, some are actually surprised that people are faking the QR codes !

Holy shit folks, the children running the country are surprised that the system they delivered with ZERO security and ZERO controls to prevent abuse is being abused !

https://globalnews.ca/news/8039873/winnipeg-restaurant-phony-vaccine-qr-code/




CONCLUSION: The entire process that they put in place is irresponsible and foolish.


A QR code that actually has confidential information imbedded in the code was a bad idea from the start.

A QR code that will basically allow a business owner to scan and display the persons name and other "pertinent information" without a means of validating the information was building on a terrible foundation.


This means that the business owner would have to ask you for government issued ID to attempt to match the QR code data to the person that stands in front of them.   

What could go wrong with deputizing the business owner, entrusting them with sensitive information and imposing that they start asking for ID at the door!


The solution was actually so much easier, at least in Quebec.  Not sur about all the other provinces, but in Quebec the QR system is based on your medicare card number.  Which miraculously is attached to a photo they have on file!  

How simple would it have been to generate a fully random QR code with no sensitive data, and when this code is scanned using the government approved application.... the central system pops your photo up on the screen.   The business owner looks at your ugly face and looks at the photo... if both are as repulsive... it must be a match and all is good.  Simple.


But there is no money in simple... and more money in complexe and pointless systems.  Where is version 2.0 ! 


I know some critics will whine and cry that not everyone has a medicare card or not everyone has a photo on file (such as young children).   And you my friend are part of the problem that imposes terrible systems because of exceptions.  There are concrete ways to manage exceptions that would work.  But instead, the gouvernement spent our tax dollars on a system that was doomed right from the start.  A system that has no security, and that actually exposes sensitive information for no valid or functional reason.


Any descent first year security student would have assembled a more robust and worthy ecosystem.


As seems to always be the case with IT and government projects.... a big bravo is in order.


Other positive news this week:


KASEYA FINDS DECRYPTION KEY UNDER A REDISH ROCK IN THE NEVADA DESERT

https://www.databreachtoday.com/kaseya-obtains-decryption-tool-after-revil-ransomware-hit-a-17129

Check out the guys face, he hasn't slept in a while ;-)

Their press release stipulates that they cannot deny or confirm if they paid the ransom.  Either way.... a key is now miraculously available!   Great news!


INTERNET GOES DARK FOR 2 HOURS

Banks, airlines, cloud services, all went dark for a few hours due to a minor issue at Akamai. Seems someone used their thumb instead the their fingers and made a small mistake.

https://www.cbc.ca/news/business/akamai-internet-outage-1.6112954

How is this good news you ask?  Simple, if this had an impact on your operations, it identified key systems that you have in place that should not have been placed in the cloud on services that call the issue minor if it was critical to you.  Great news again!


I'm off to the restaurant with my newly printed QR code.


Have a great weekend !


_______________________________________________

Eric Parent is a senior security expert (and seasoned pilot), specialized in coaching senior executives.  He occasionally teaches CyberSecurity at l'Ecole Polytechnique and HEC Universities in Montreal, and is CEO of Logicnet/EVA-Technologies, one of Canada's oldest privately owned security companies.

Follow Eric on:
Twitter @ericparent
LinkedIn :  EVA-Technologies




www.eva-technologies.com

Saturday, January 2, 2021

Videotron Breach ? Welcome to 2021

UPDATE JAN 2nd 2020 - 13:45. The 37 gig file contains email addresses used in phishing attacks. The emails contained are a complete mix of domains. 22977 of them are @videotron.ca emails. No other conclusions as to the correlation between this list and the Videotron passwords found in another directory can be made at this time.


Was Videotron breached? A list of 60,000 accounts (email and passwords) was just leaked. This would be a small subset of their entire client base, but remains interesting.

Since most of the media tend to avoid touching Videotron and the Quebecor empire, I doubt we will see much ink on this breach.


A list containing Videotron account information totalling 226084 items, all Videotron email usernames with their passwords was published.






FILE LINE COUNT

wc -l videotron33.txt

    5743 videotron33.txt


wc -l videotron34.txt

   14560 videotron34.txt


wc -l videotron35.txt

   21059 videotron35.txt


wc -l videotron36.txt

   39264 videotron36.txt


wc -l videotron37.txt

   47859 videotron37.txt


wc -l videotron38.txt

   40817 videotron38.txt


wc -l videotron39.txt

   49565 videotron39.txt


wc -l videotron40.txt

    7217 videotron40.txt

Not much details about the source was provided with the leak data, maybe some real journalists will dig through this and get to the bottom of it.


Overall, some duplicates exists, so when you remove duplicates, you are left with 60314 unique items.

sort videotron-full.txt | uniq -d | wc -l

   60314


You can download the list of emails here 

(passwords have been removed for security) and see if your email is in the list 


NOW KEEP IN MIND that this does not mean that Videotron has been breached.  There are a lot of fraudsters out there that try to target companies to make them look bad.

Imagine if somewhere, a list of 50 million usernames had been compromised, and someone sorted them out looking for @videotron.ca... they could generate a list that looks like "only" Videotron yet has nothing to do with Videotron.

Some Montreal based companies do EXACTLY this to try and generate business and sell security related services.  Going one step further, the data could also all be fake or old data... until Videotron comments, we simply cannot know for sure.


Either way, someone is targeting Videotron...   And we should all change our passwords... again...

>> End of warning ;-)

 

The list, totalling 60,000 unique entries could indicate a specific leak from a specific system or division since it does not encompass the entire client base of Videotron.


Number of customers subscribed to Videotron from 2012 to 2019, by segment

SOURCE: https://www.statista.com/statistics/797458/number-of-videotron-subscribers/

The system hosting the leaked data is interesting, as it has other evil looking content, including a 37 gigabyte file of email addresses (with no other information, and no passwords).  I am downloading this file now and will further analyse it once downloaded.




The site also hosts what is clearly phishing attack content such as fake PayPal login pages.  This means that the Videotron data, could also be someone preparing an attack that is targeting Videotron users, and the passwords could be for another service like PayPal.



_______________________________________________

Eric Parent is a senior security expert (and seasoned pilot), specialized in coaching senior executives.  He teaches CyberSecurity at l'Ecole Polytechnique and HEC Universities in Montreal, and is CEO of Logicnet/EVA-Technologies, one of Canada's oldest privately owned security companies.

Follow Eric on:
Twitter @ericparent
LinkedIn :  EVA-Technologies




www.eva-technologies.com

 

Wednesday, December 16, 2020

Who really got hacked. Air Canada? Vancouver international?

News is flowing that Everest hacking group hacked Vancouver Airport and Air Canada, but this appears false.



When you visit the Everest Ransomware groups darkweb site, the information published looks to be a contractors data with regards to construction projects @ Vancouver International, that includes the Air Canada Lounge and various other enterprises across Canada including Pomerleau.


At first glance, it looks more like a contractor got hit and the files have been broken down into the various subjects since every leak on the Everest site has the exact same type of data (architecture diagrams, electrical diagrams, demolition plans, etc.)




Everyone is reaming on Air Canada/Vancouver airport today without looking at the data, and this looks more like a consultant got hit.



Now, since we have the plans for Vancouver International Airport (or partial plans), and the Annex Skywalk that leads to the Air Canada Lounge, should we now expect John McClane to kill off Colonel Stuart's mercenaries with his Beretta 92?


After all, we are certainly in the Christmas period and a nice Die Hard scenario would certainly spice things up.





Imagine a Vulnerability Testing tool that defaults to showing you partial results

Well, to my surprise, Tenable.IO has added a new setting that defaults to NOT showing you everything. So when creating a new scan, you are f...