La colère monte a la Fed qui confirme bidouille Anonyme, minimise l'importance de la banque américaine intrusion dans le système d'urgence


Résumé: La Réserve fédérale a confirmé bidouille Anonymous dimanche, ZDNet a appris l'information exposée est des milliers de contacts d'urgence de la Fed bancaires du système.



Après Anonymous En ligne des informations d'identification sensibles de plus de 4.600 cadres bancaires sur un site Web du gouvernement du dimanche du Super Bowl, la Réserve fédérale a reconnu l'attaque dans un communiqué mardi matin pour les personnes touchées et de presse.

Cependant, alors qu'un porte-parole de la Réserve fédérale dit le Huffington Post que la revendication Anonyme 'importance pour le hack a été «exagérée», les professionnels de la sécurité des informations qui servent les institutions financières disent exactement le contraire et sont pas très heureux avec la Réserve fédérale.

ZDNet a appris que la base de données compromise et exposée appartient à la Fed de St. Louis système de communication d'urgence.

 Chris Wysopal , CTO et co-fondateur de Veracode, déballé le hack et l'appelle «une aubaine spearphishing» et «le dépotoir compte le plus précieux par la qualité que j'ai vu depuis un moment» dans le poste Stolen-têtes de données de la Réserve fédérale Hack .

Le siège de la Réserve fédérale à Washington, DC. (Crédit: Dan Smith / Wikimedia Commons)
Selon l'avocat du banquier , ECS est le système de communication d'urgence pour les dix-sept Etats, avec des plans pour ajouter sept états nouveaux de cette année.

ECS estime qu'elle détient 40 pour cent de l'Amérique à charte d'État banques que par ses utilisateurs.
L'ECS a été déployé en 2008 et est le moyen par lequel les organismes de contrôle bancaire tels que le Département de la Banque et de la Réserve fédérale de surveillance et de régulation de communiquer avec les institutions financières en cas d'urgence.

Le système ECS permet aux agences de mettre en place les deux sens des voies de communication avec les institutions au cours d'une crise d'échanger des informations critiques; crises telles que les catastrophes naturelles ou d'origine humaine (météo, le feu, et ainsi de suite), "les événements biologiques et chimiques ou menaces», et «Les événements affectant les marchés financiers."

Lisez ce




Anonymous semble avoir publié des informations de connexion et privés de plus de 4000 titres américains exécutifs bancaires de son fonctionnement Last Resort, exigeant la réforme du droit américain de l'informatique crime.

Les informations sensibles sur des milliers à l'état d'affrètement banques et les coopératives de crédit, y compris-les informations de connexion, les informations d'identification, les adresses IP et les coordonnées-a été inscrit dans une feuille de calcul et affiché sur un site du gouvernement, a ensuite annoncé et revendiqué par l'opération «Last Resort» faction d'Anonymous.

Le site Web du gouvernement, qui a été compromis et utilisé pour écrire la feuille de calcul, le Centre d'information de justice pénale Alabama, n'a pas répondu aux demandes de commentaires de la t Washington Pos .

La page avec nom de fichier URL "oops-nous-fait-il de nouveau», est resté accessible en PST tôt lundi matin. Une version mise en cache de la page était toujours disponible à partir de mardi après-midi, ainsi qu'une copie du texte brut placé sur Pastebin au moment de l'attaque.

Un porte-parole de la Réserve fédérale a déclaré à Reuters exactement ce qu'il a envoyé dans le courriel aux personnes touchées, en disant: «. Le système de la Réserve fédérale est conscient que l'information a été obtenue en exploitant une vulnérabilité temporaire dans un produit du fournisseur site Web"
Contactez partir de la Réserve fédérale pour les personnes touchées a été vérifié de façon indépendante à ZDNet par une source, qui s'exprimait au terme de confidentialité.

Source de ZDNet a fourni une copie de l'e-mail de la Réserve fédérale à ceux sur la liste, révélant que les institutions concernées ont été informés de la violation et que leurs mots de passe pour le système affecté (un site web avec une base de données de contact pour les banques à utiliser au cours d'une origine naturelle ou humaine faite en cas de catastrophe) serait changée.

Mardi matin, ceux de la liste, avec les médias, a reçu cette information de la Banque de Réserve Fédérale de Saint Louis:

Le système de la Réserve fédérale a appris que les données de contact des utilisateurs de son système de communication d'urgence (ECS), un système utilisé par la Réserve fédérale et les départements bancaires État de notifier les institutions de dépôt de l'état de fonctionnement en cas de catastrophe naturelle ou autre »a été obtenu et affiché sur internet par un groupe externe qui a exploité une vulnérabilité temporaire dans un produit site du fournisseur. La vulnérabilité a été assaini rapidement après la découverte, et l'incident n'a aucune incidence sur les opérations essentielles du système de la Réserve fédérale.

Nous apportons cette information à votre attention parce que vous êtes un inscrit pour ECS. Informations obtenues auprès des personnes inscrites se composait de l'adresse postale, numéro de téléphone professionnel, téléphone mobile, messagerie d'entreprise, et le fax. 

Certaines personnes inscrites également inclus des informations facultatives composée de téléphone à la maison et e-mail personnelle. Malgré les affirmations du contraire, les mots de passe n'ont pas été compromise, mais néanmoins, ont été remis à zéro par mesure de précaution.

La source a déclaré à ZDNet, «Les banques figurant sur la liste n'ont pas été compromise."


Carte SIG des banques compromis faits avec GeoCommons .

Les St. Louis Fed de communications d'urgence du système des services des banques américaines membres de l'Etat et les coopératives de crédit.
Son site Web est ainsi libellé:

Bienvenue sur le système de communication d'urgence (ECS), un service gratuit qui permet à votre institution financière de recevoir des communications importantes de votre organisme de réglementation lors de crises telles que des catastrophes naturelles ou une origine humaine, ou des événements qui affectent considérablement les marchés financiers.

Les fonctionnaires qui sont choisis comme contacts d'urgence de votre institution suffit de vous inscrire en créant un nom d'utilisateur et de soumettre toutes les coordonnées utiles. Après l'enregistrement, les individus peuvent mettre à jour leurs informations de contact à tout moment, permettant à l'information de contact de rester à jour et exacts.

S'il vous plaît noter que les inscrits ne sont contactés en cas d'urgence et au cours semestriels tests. Cette information n'est pas partagée avec quelqu'un d'autre que votre organisme de réglementation respectif.
Après les attaques sur les sites Web du gouvernement des États-Unis le week-end dernier, Anonymous a coûté la nouvelle opération «Last Resort». Gov grève site Web tout comme le Super Bowl de football a pris fin.

Le OpLastResort campagne exige "la réforme des lois criminalité informatique" et l'étude des "procureurs trop zélés» en réponse au suicide du jeune hacker, anti-SOPA activiste, et Reddit co-fondateur Aaron Swartz.

Le 25 Janvier Anonymous réquisitionné le site Web de la sentence fédérale américaine pour distribuer dernière opération Resort "têtes" (fichiers chiffrés qui Anonymes proposées contiennent des informations sensibles).

L'attaque ussc.gov et la dégradation a été suivie par le gouvernement retrouver le site Web que temporairement, jusqu'à ce que Anonymous récupéré la propriété du gouvernement avec un jeu vidéo moqueur des astéroïdes.

La US Sentencing Commission site sont désactivées et «en construction» de cette écriture.
Dans les réponses officielles aux électeurs, la Réserve fédérale a déclaré aucune information de compte réelle a été compromise, et que cet incident n'était pas d'une importance significative.

Jon Waldman, conseiller principal de la sécurité des informations dont la firme se spécialise dans le service aux petites et moyennes entreprises financière des institutions -comme ceux sur la liste-dit ZDNet et a expliqué sa colère minimisation de la Fed de l'incident, en disant:

La Réserve fédérale est tout simplement faux de dire qu'il n'y a pas de coordonnées sur la liste. J'ai vu cette liste et il est absolument truffé de détails du compte. Les noms d'utilisateurs et mots de passe hachés sont inclus avec des sels. N'importe qui valent leur pesant dans le domaine de la technologie peut décrypter un mot de passe crypté. La Fed a fait état de ce que les mots de passe n'ont pas été «compromis», mais cela signifie juste qu'ils ne figuraient pas dans le texte en clair.

En tant qu'expert sécurité de l'information, c'est ma position officielle selon laquelle il y avait un manque flagrant et irresponsable de tact et de l'urgence de la réponse par la Réserve fédérale pour les individus et les institutions figurant dans cette liste. J'irais jusqu'à dire qu'ils ont menti de façon irrévocable à leurs électeurs ici. Certes, il n'y a pas de menace immédiate de transfert de fonds ou de perte de données supplémentaires, mais il ya certainement un danger imminent ici pour chacun de ces comptes qui ont été exposés.

Cette liste n'est, en fait, toujours accessible au public via un site web en chinois, ce qui signifie toute cette information est toujours là pour ceux qui ont la cyber-criminalité propension à accéder et à utiliser.
Indignation Waldman côté, il a expliqué les risques pour les personnes inscrites sur la liste ainsi:

Tant les institutions et les personnes figurant sur cette liste seront des cibles spécifiques de l'ingénierie sociale et les attaques de pirates. Non seulement l'information d'entreprise (numéros de téléphone et e-mails) inclus dans cette liste, mais les informations personnelles (numéro de portable et adresse électronique) ainsi. En outre, les informations d'adresse externe IP (l'adresse IP qui identifie cet hôte ou de l'institution sur l'Internet) pour ces institutions était contenu dans cette liste.

Ainsi, si vous arrive d'être un individu précaire impliqué avec certains rapports arrière-porte, y compris les tentatives d'escroquerie individus d'argent ou des informations confidentielles, et je vous ai présenté avec une liste de numéros de téléphone 4000 + d'institutions financières de faire appel à une tentative pour extraire des informations de compte client ou de l'information interne de la banque de scrutateurs ou employés, ne serait pas vous être assez intéressé?

Que diriez-vous d'une liste de 4000 + cadres bancaires auxquels on pourrait envoyer un email de phishing ciblé? 4000 + exécutifs bancaires personnels numéros de téléphone cellulaire pour appeler? Que peut-on faire avec ça? Des appels ou des messages texte? Ou mieux encore, une liste de 4000 + adresses IP externes que l'on pouvait pirater ou d'effectuer une attaque par déni de service contre.
Il ya beaucoup de questions sans réponse, et plus de métiers à tisser questions. Nous rendrons compte de mises à jour en temps réel.

Source : Traduit de zdnet

Commentaires