Kinomap est la dernière application à divulguer des informations en raison de la terrible gestion de la base de données
Vivre la pandémie de coronavirus et le verrouillage qu'elle nous a imposé n'est pas facile, mais tous ceux qui se sentent tentés de se plaindre ne devraient pas oublier que cela aurait pu être bien pire. Grâce à la technologie, de nombreuses choses qui nécessitaient auparavant des sorties peuvent maintenant être faites dans le confort de nos propres maisons. Des applications comme Kinomap peuvent même nous aider à rester en forme sans quitter la maison, ce qui est particulièrement important compte tenu de la situation actuelle.
Malheureusement, la commodité supplémentaire entraîne son propre ensemble de problèmes. La cybersécurité en fait partie, et le triste fait est que nous n'y pensons pas beaucoup. Les chercheurs de vpnMentor nous ont montré pourquoi nous devrions essayer d'y prêter plus d'attention.
Kinomap a laissé plus de 42 millions d'enregistrements dans une base de données non protégée
Dirigée par Noam Rotem et Ran Locar, l'équipe de recherche de vpnMentor a mis au point un projet de cartographie Web qui scanne les blocs d'adresses IP et trouve les appareils connectés qui ne sont pas configurés correctement. Les recherches se poursuivent depuis un certain temps maintenant et ont abouti à la découverte et à la correction de nombreuses fuites de données. Le Kinomap susmentionné est la dernière application à tomber dans le collimateur des chercheurs.
Le mois dernier, ils ont découvert une base de données de 40 Go qui n'était pas protégée par un mot de passe. Un coup d'œil rapide a fait savoir aux chercheurs qu'ils consultaient les informations recueillies par Kinomap, et après une inspection plus approfondie, ils ont réalisé qu'ils contenaient les informations personnelles d'environ 42 millions d'utilisateurs.
Bien qu'ils ne puissent pas en être sûrs, les experts de vpnMentor estiment qu'il pourrait s'agir de la totalité de la base d'utilisateurs de Kinomap. Les personnes touchées sont réparties dans le monde entier et doivent faire très attention car leur application d'entraînement à domicile a exposé beaucoup d'informations à leur sujet. Parmi les détails divulgués, les chercheurs ont découvert:
- Des noms
- Noms d'utilisateur Kinomap
- Adresses mail
- Pays d'origine
Les enregistrements comprenaient également des informations de télémétrie sur la façon dont l'application était utilisée ainsi que des liens vers des comptes individuels. Ceci, associé aux données ci-dessus, pourrait donner aux pirates la possibilité d'organiser une attaque de phishing sophistiquée.
Dans certains dossiers, les experts ont trouvé des clés API, qui permettraient aux attaquants de reprendre des comptes entiers.
Les développeurs de Kinomap ne sont pas les premiers à avoir mal configuré une base de données connectée à Internet, et ils ne seront probablement pas les derniers. Dans de tels cas, il est important de voir les fournisseurs de services et les éditeurs de logiciels reconnaître leurs erreurs et essayer d'en tirer des enseignements. Les responsables de Kinomap ont cependant adopté une approche différente.
Kinomap préfère ne pas commenter la base de données mal configurée
Les experts de vpnMentor ont découvert la base de données mal configurée de Kinomap le 16 mars, et quelques jours plus tard, ils ont essayé de contacter le développeur. Après n'avoir rien entendu pendant un peu moins de deux semaines, ils ont de nouveau tenté de divulguer la fuite le 30 mars. Les chercheurs voulaient être sûrs que quelqu'un réglerait le problème, c'est pourquoi ils ont également informé la Commission nationale de l'informatique et des libertés ( CNIL), un régulateur de la confidentialité en France, le pays où se trouvent les développeurs de Kinomap. Le 12 avril, la base de données a finalement été supprimée, et les chercheurs pensent que cela est probablement dû à l'implication de la CNIL.
Lorsque Lisa Vaas de Sophos est entrée en contact avec Kinomap, les développeurs de l'application ont finalement répondu. La société a déclaré avoir corrigé la vulnérabilité "immédiatement" après en avoir été informée, ce qui, comme vous pouvez le voir, contraste fortement avec ce que les experts en sécurité ont rapporté. Les institutions appliquant le règlement général de l'UE sur la protection des données (RGPD) devraient décider si la réaction des créateurs de Kinomap était adéquate.