Plus de 42 Millions de Dossiers d'Utilisateurs dans des Applis de Rencontres Révélés par une Base de données Non Protégée

Five Dating Apps Expose Millions of User Records

La plupart des internautes pensent que ce sont les vendeurs et les fournisseurs de services qui doivent protéger leurs données contre les pirates informatiques. Si nous devons être particulièrement pointilleux à propos de tout cela, nous dirions que la formulation n’est pas tout à fait exacte.

« Protéger » les données signifie éliminer tous les moyens possibles de les violer. Comme le savent les personnes qui s'intéressent à la cybersécurité, ce n’est tout simplement pas possible. En fait, ce que les responsables de nos données devraient faire, c'est rendre le travail des pirates informatiques aussi difficile que possible. Certaines organisations proposent des résultats relativement satisfaisants à cet égard.

Récemment, par exemple, les cybercriminels ont réussi à percer la sécurité du service d'agrégateur d'informations Flipboard, et ils ont obtenu un nombre encore inconnu d'identifiants de connexion. Dû au fait que la plupart des mots de passe ont été cachés de manière sécurisée, les escrocs informatiques ne peuvent aucunement les utiliser. Pour plus de sécurité, Flipboard demandera à tous ses utilisateurs de réinitialiser leurs mots de passe lors de la connexion. C’est ainsi que les fournisseurs de services responsables doivent procéder.

À l'autre extrémité, il existe des développeurs qui déchargent les informations des personnes sur un serveur connecté à Internet qui n'est protégé en aucune mesure. Au cours des derniers mois, des chercheurs ont découvert plus à quelques serveurs qui exposaient les données des utilisateurs à toute personne qui est prête à les consulter. Le 25 mai, le chercheur et journaliste de SecurityDiscovery.com, Jeremiah Fowler a trouvé le dernier exemple en date.

Cinq applications de rencontres exposent des millions de dossiers

Peu de temps après avoir découvert l'installation incriminée d'Elasticsearch, Fowler a relevé plusieurs indices suggérant qu'il consultait des informations recueillies par une application de rencontres. Après avoir effectué un peu de recherches, il a révélé que les données appartenaient aux utilisateurs de cinq services de matchmaking différents. Les noms sont les suivants:

  • Cougardating
  • Christiansfinder
  • Mingler
  • Fwbs
  • TS

Curieusement, nous pouvons suggérer depuis les informations disponibles sur les applications susmentionnées qu'elles sont développées et distribuées par des entités complètement différentes. Toutefois, ce n'est pas exactement le cas, ces dernières semblent stocker les données de leurs utilisateurs dans la même base de données.

Il est difficile d'affirmer qu'ils ont tous été développés par les mêmes personnes, mais il est indéniable que les responsables ne semblent pas s'intéresser à la protection de la base de données. En fait, ils ne semblent pas intéressés à être contactés du tout.

La connexion chinoise

La base de données est hébergée sur un serveur basé aux États-Unis et la plupart des personnes affectées sont américaines. Pourtant, lorsque Fowler a consulté les dossiers Whois pour les sites Web des applications, il a découvert qu’ils venaient le plus probablement de Chine. Malheureusement, il n'a pas pu utiliser ces informations pour rapprocher les développeurs et les aider à sécuriser les données des internautes.

Il est très important de noter que certains des domaines étaient confidentiels, ce qui signifie qu'il n'y avait aucune information de contact publiquement disponible sur le propriétaire. Avec d'autres, les données de contact étaient factices, l'une des applications avait une adresse liée au domaine qui s'est avéré être une station de métro dans la ville chinoise de Lanzhou. Après avoir constaté qu'il est peu probable de contacter quelqu'un qui puisse obtenir les données exposées, Fowler a décidé de partager publiquement les informations et d'avertir les utilisateurs des applications qui ne soupçonnent probablement rien.

Il est temps de commencer à apprécier l'importance de votre nom d'utilisateur

La base de données révèle au total de 42,5 millions d’enregistrements d’utilisateurs, et Jeremiah Fowler a noté qu’aucun d’entre eux ne contenait de « DPI ». « DPI » signifie Données personnellement identifiables et, au fil des années, les experts discutaient la signification du terme. Il est clair pourquoi c'est une chose difficile à comprendre.

Par exemple, la base de données Elasticsearch trouvée par Fowler, ne contient aucun nom réel, mot de passe, adresse réelle ou toute autre information particulièrement révélatrice. Vous ne trouverez qu'une adresse IP, un âge, une location et un nom d'utilisateur. En ce qui concerne son rapport, il n'y avait même pas des courriers électroniques, ce qui pourrait amener certains utilisateurs à pousser un soupir de soulagement.

Comme Fowler l'a noté, cependant, les choses ne sont pas si simples. Beaucoup de gens utilisent des surnoms pour cacher leur véritable identité. Il arrive souvent de réutiliser les surnoms, comme les mots de passe, ils sont parfois utilisés sur des sites Web contenant de nombreuses informations personnelles. Avec l'aide du moteur de recherche Google et en utilisant certains des noms d'utilisateur de la base de données non sécurisée, Fowler a réussi à faire le lien entre des enregistrements et des identités réelles, et comme il avait aussi la géolocalisation des utilisateurs concernés, il est très probable qu'il ait obtenu de véritables résultats.

Vous pouvez tirer au moins deux leçons de cette exposition de données. La première est que, si vous envisagez d'installer une application dont peu de gens ont entendue parler, il est conseillé de prendre le temps nécessaire de faire un peu plus de recherches à l'avance, et si vous pensez que le développeur ne partage pas trop d'informations, vous devriez réfléchir à deux fois si vous en avez vraiment besoin. La deuxième morale de l'histoire est que, si vous envisagez d'utiliser un service que vous ne voulez pas que d'autres personnes connaissent, vous devez vous assurer que votre nom d'utilisateur, tout comme votre mot de passe, ne reviendra pas vous hanter.

June 4, 2019

Laisser une Réponse

IMPORTANT! Pour pouvoir procéder, vous devrez résoudre le calcul simple suivant.
Please leave these two fields as is:
Qu'est-ce que 6 + 4 ?