Des chercheurs en sécurité ont lancé l’alerte : selon eux, les données privées des 31 millions d’utilisateurs de l’application de clavier virtuel pour mobile Ai.type se retrouvent en pâture sur le Net. Le fondateur du service lui, dément l’information.
C’est une équipe de chercheurs en sécurité de Kromtech Security Center qui a découvert la fuite d’une énorme quantité de données personnelles appartenant à plus de 31 millions utilisateurs de l’application de clavier virtuel pour mobile Android AI.type (appartenant à une start-up basée à Tel Aviv). Selon eux, la fuite serait accidentelle et directement liée à une mauvaise configuration d’une base de donnée MongoDB : Aucune authentification n’est requise et tout le monde peut accéder et télécharger la base de données en connaissant son adresse. Le contenu est en clair, sans aucun chiffrement.
Le problème dans le cas présent est la quantité de données (577 Go tout de même !) et la nature extrêmement sensible de ces dernières : en effet, les chercheurs en sécurité ont pu accéder aux détails privés de 31 293 959 utilisateurs.
Il s’agit du numéro de téléphone, de nom complet de l’utilisateur, du nom et modèle de l’appareil mobile, du nom du réseau mobile, du numéro de téléphone, de la résolution d’écran utilisée, des langues activées, de la version d’Android, du numéro IMSI, du numéro IMEI, des adresses mails associées à l’appareil, du pays de résidence, des informations associées aux profils de médias sociaux (date de naissance, titre, mails, etc.) et aux photo (liens vers Google+, Facebook, etc.), de l’adresse IP, des contacts et des détails de localisation (long/lat).
Toutes ces informations sont collectées par la version gratuite de l’application Android. Largement de quoi s’interroger sur le pourquoi d’une telle collecte de grande ampleur… mais c’est un autre débat.
Le responsable de la start-up, Eitan Fitusi, a largement minimisé la fuite et les données qu’elle expose.
J’ai mal pour l’admin bdd.
Les commentaires sont fermés.