The payload contains '|/???/\b**\h,' which is meant to confuse WAF rules. Unusual characters are a common evasion tactic.
image by: win3zz
#cybersec#BugBountytips#infosec
🚨 FUITES DE DONNÉES - ENSAE / Institut Polytechnique de Paris 🇫🇷
Après Grenoble, Lille, désormais Paris.
9 551 étudiants concernés, 4 179 IBANs exposés, numéros de sécurité sociale et CNI inclus, près de 50 Go de données par établissement : la fuite est apparue il y a quelques heures sur un forum.
Encore une fuite de données française majeure.
L’auteur affirme disposer de l’intégralité des bases de données et du code source de plus de 15 écoles françaises.
Pas un simple extrait, mais un dump complet et structuré des systèmes internes, avec des données hautement sensibles et toujours exploitables.
📂 Données concernées (selon l’auteur)
• Identités complètes
• IBANs bancaires
• Numéros de sécurité sociale
• Adresses personnelles
• Photos et documents d’identité (CNI)
• Comptes étudiants ENSAE
• Comptes internes (Pamplemousse)
• Emails, prénoms et noms des professeurs
• Code source complet ENSAE (2 247 fichiers)
⚠️ Risques concrets
➡️ Phishing ciblé étudiants & enseignants
➡️ Fraudes bancaires et administratives
➡️ Usurpation d’identité
➡️ Exploitation malveillante à grande échelle
➡️ Exposition RGPD critique
Encore une école française exposée, encore des données ultra-sensibles, encore des milliers de personnes concernées.
🔍 L’analyse du leak est en cours et sera mise à jour ici.
🚨 ALERTE FUITE DE DONNÉES : @123casting (≈ 240 000 victimes)
BreachForums continue de faire des victimes avec la publication aujourd’hui d’une base de données volée au site https://t.co/qD6Bjvs34N. Elle a déjà circulé par le passé et elle est rendu publique. L’analyse du dump suggère une compromission totale de cette plateforme française de casting. Ce n’est pas une simple fuite d’e-mails : on parle d’une exfiltration d’identités complètes avec des données hautement personnelles.
📊 Les chiffres
🧑🤝🧑 Nombre de victimes : environ 240 000 comptes uniques
➡️ 🗓️ Période des données : de 2015 à avril 2024 (données récentes et actives)
📂 Ce que contient la fuite (le “Fullz”)
Le niveau de détail par utilisateur est alarmant. Le dump contient, pour chaque profil :
➡️ 🪪 Identité complète : nom, prénom, date de naissance, sexe
➡️ 📍 Coordonnées directes : adresse postale précise, numéros de téléphone, e-mail
➡️ 🧬 Données biométriques sensibles : taille, poids, couleur des yeux/cheveux, origine ethnique
➡️ 🧍♀️ Intimité physique : mensurations complètes (poitrine, taille, hanches) + signes distinctifs (tatouages, cicatrices)
➡️ 🖼️ Vie numérique : liens vers books photos/vidéos + historique des messages privés
➡️ 💬 Messages échangés avec des casteurs
➡️ 💳 Données de paiement
❌ Les erreurs majeures de sécurité
L’audit technique du fichier révèle une gestion de la sécurité catastrophique :
1️⃣ Mots de passe “en clair” (MD5) : l’algorithme obsolète MD5 rend les mots de passe très vulnérables. Les tests montrent que les mots de passe simples sont déchiffrables quasi instantanément. 🔓
2️⃣ Accès admin compromis : des comptes administrateurs sont inclus dans la fuite, ouvrant la porte à une prise de contr��le du système
3️⃣ Données de mineurs exposées : des milliers de profils d’enfants et de bébés sont présents avec leur localisation et leurs photos. 🔞
4️⃣ Fuite de messages privés : des échanges confidentiels sont exposés, révélant parfois des tentatives d’arnaques déjà en cours sur la plateforme
⚠️ Quels sont les risques ?
➡️ 🪪 Usurpation d’identité : avec ce niveau de détail, créer de faux dossiers administratifs devient beaucoup plus simple
➡️ 🎯 Phishing ultra-ciblé : les escrocs peuvent contacter les victimes avec des infos personnelles très précises pour gagner leur confiance
➡️ 🚨 Harcèlement / risque physique : le croisement Photos + Mensurations + Adresse représente un danger réel pour la sécurité des personnes
🛡️ Recommandations
Si vous avez (ou avez eu) un compte sur ce site :
➡️ 1️⃣ Changez immédiatement vos mots de passe partout où vous utilisiez le même
➡️ 2️⃣ Activez la double authentification (2FA) sur vos comptes sensibles (e-mails, banques)
➡️ 3️⃣ Soyez extrêmement vigilants face aux appels/SMS proposant des castings “urgents”
Apple added two new parameters in bridgeOS 10.2 / 26.2 to enforce activation_record and/or ucrt validation (?)
Maybe some mitigation to fix the hactivation gestalt hax?
(Ignore the fact that my T2 has has_baseband=true ◔̯◔)
Possible interesting archive: afd6dabc34d618ea166b33c8e9b14a79c495e89b520a51778187ffe49ca05fbf
Inside is this "Таблица_операторов_за_подразделение.xlsx.lnk": 204e696826c3545bb62910f7a30f7dbd03d8852b4d970275478326b27742d96a
🤷♂️