Les applications de rencontres ne parviennent pas à protéger leurs clients à nouveau: 6 applications perdent des millions d'enregistrements

Six Dating Apps Leak Millions of Records

L'une des choses que nous aimons le plus sur Internet est le fait que nous pouvons y trouver autant d'informations. Curieusement, l'une des choses que nous détestons le plus sur Internet est également le fait que nous pouvons trouver autant d'informations à ce sujet. Les chercheurs en sécurité de WizCase, par exemple, ont récemment découvert que s'ils savaient où chercher, les utilisateurs de six applications de rencontres pouvaient trouver leurs informations personnelles exposées dans des bases de données qui n'étaient pas protégées par un mot de passe et étaient accessibles de n'importe où dans le monde.

Cinq bases de données mal sécurisées divulguent des millions d'enregistrements remplis d'informations personnelles

Les experts ont découvert trois installations ElasticSearch, un compartiment Amazon S3 et une base de données MongoDB exposée à Internet et accessibles sans aucune forme d'authentification. Deux des fournisseurs sont basés aux États-Unis, deux sont situés en Corée du Sud et un opère au Japon, et ils gèrent tous des sites Web et des applications de rencontres. Voici les noms des services et les données qu'ils ont divulguées:

  • CatholicSingles.com

    • Le godet S3 ne pesait que 17 Mo et détenait un record quelque peu modeste de 50 000. La plupart des profils semblent interdits, mais la dernière activité enregistrée est récente, ce qui montre que les données divulguées sont probablement valides. Il comprend des éléments tels que les noms, adresses e-mail, numéros de téléphone, âge, sexe, profession, adresses de facturation, méthodes de paiement, etc.

  • SPYKX.com

    • SPYKX.com est un fournisseur sud-coréen qui développe et gère plusieurs services différents. L'un d'eux est une application de rencontres appelée Condaq / Kongdak, et pour une raison quelconque, le développeur a décidé que ce serait une bonne idée de mettre certaines des données utilisateur de l'application sur un serveur ElasticSearch non protégé. Environ 123 000 enregistrements ont révélé une valeur de 600 Mo de données personnelles, y compris des adresses e-mail, des mots de passe en clair, des dates de naissance et même des données GPS.

  • Tiki

    • Tiki est, prétendument, "un nouveau type d'application de rencontres", et selon son site Web, l'utilisateur a le contrôle sur le type d'informations personnelles que les dates potentielles peuvent voir. Cette affirmation est particulièrement ironique étant donné que le développeur de Tiki a mis certaines desdites informations dans une base de données MongoDB accessible avec un simple navigateur. Un peu plus de 4000 enregistrements ont été exposés, et ils comprenaient tout, des évaluations des utilisateurs et des journaux d'activité aux noms, numéros de téléphone, lieux de rendez-vous, etc.

  • Floue

    • Blurry est une application de rencontres sud-coréenne qui permet aux utilisateurs de brouiller l'écran pendant les appels vidéo. Il est censé être destiné aux utilisateurs qui sont trop timides pour interagir ou qui ne sont pas très confiants quant à leur apparence, et vous ne pouvez qu'imaginer comment ces personnes se sentiront quand elles apprendront que certaines de leurs conversations privées ont été exposées par un serveur ElasticSearch mal configuré. Les 70000 enregistrements ne contenaient pas de détails personnels, mais les messages divulgués étaient pleins de numéros WhatsApp, de poignées Instagram et d'autres informations qui pourraient exposer la victime à toutes sortes d'attaques.

  • Charin et Kyuun

    • Encore une autre base de données ElasticSearch mal configurée appartient aux développeurs de Charin et Kyuun - deux applications japonaises qui semblent être gérées par la même société. C'était de loin la plus grosse fuite, avec 57 Go de données exposées et un peu plus de 100 millions d'enregistrements ouverts au public. De façon inquiétante, en plus des ID utilisateur, des informations sur les appareils mobiles et des préférences de recherche, la base de données contenait des adresses e-mail et des mots de passe en texte brut.

C'était déjà une fuite assez importante, mais l'enquête de WizCase ne s'est pas arrêtée là.

Les experts n'ont pas pu identifier les propriétaires de six autres bases de données non protégées

Les chercheurs ont découvert six autres bases de données non sécurisées remplies de données. Une fois de plus, les utilisateurs des services de rencontres ont été touchés, mais cette fois, il est apparu que les développeurs n'étaient pas responsables de la fuite.

Les experts ont réussi à lier les données à plusieurs applications - Zhenai, Say Love, Netease, Love Chat et Companion. Ils ont déclaré, cependant, que les bases de données ne contenaient aucune information personnellement identifiable et étaient très probablement le résultat d'un grattage Web. Ils pensent également que les cybercriminels peuvent utiliser les informations qu'ils contiennent pour identifier d'autres profils accessibles au public et potentiellement accéder à des données plus sensibles.

À quoi les utilisateurs doivent-ils faire attention?

Il n'est jamais amusant de voir des applications de rencontres qui fuient les données des utilisateurs. Bien que les services dont nous parlons aujourd'hui ne soient pas aussi niches que ceux dont nous avons discuté il y a quelques semaines, les personnes concernées ne sont pas nécessairement intéressées par le monde entier sachant qu'elles les utilisent.

Malheureusement, étant donné que de nombreuses applications sont impliquées, nous n'avons aucun moyen de savoir combien de personnes sont affectées par les fuites. Ce que nous savons, cependant, c'est que si vous avez utilisé l'un des services mentionnés dans cet article, vous devez être beaucoup plus prudent que d'habitude. Les données de certaines bases de données peuvent fournir aux cybercriminels tout ce dont ils ont besoin pour vous usurper l'identité et voler votre identité en ligne. De plus, ils peuvent l'utiliser pour trouver plus d'informations sur vous et monter des attaques supplémentaires.

Les tentatives de chantage basées sur le fait que vous utilisez une application de rencontres ne sont pas hors de question dans certains cas, et les mots de passe en texte brut exposés seront presque certainement utilisés dans les attaques de bourrage d'informations d'identification.

Par Duran
July 7, 2020
News
Français
July 7, 2020
News

Articles Populaires

Microsoft prévient que les acteurs de la menace soutenus par...

Il y a 4 days

Détection des logiciels malveillants Trojan Al11

Il y a 11 months

Pinaview est une application publicitaire complète

Il y a 10 months

Pop-ups "Votre iCloud est piraté" et "Votre iPhone a été piraté"

Il y a 7 months

Qu'est-ce que Lucky Ransomware ?

Il y a 7 months

Arnaque par e-mail « American Express – Mettez à jour les...

Il y a 6 months
Français
Chargement...

Cyclonis Backup Details & Terms

Le plan Free Basic Cyclonis Backup vous offre 2 Go d'espace de stockage dans le cloud avec toutes les fonctionnalités! Pas de carte de crédit nécessaire. Besoin de plus d'espace de stockage? Achetez un plan Cyclonis Backup plus important dès aujourd'hui! Pour en savoir plus sur nos politiques et nos tarifs, consultez les conditions d'utilisation, la politique de confidentialité, les conditions de remise et la page d'achat. Si vous souhaitez désinstaller l'application, veuillez consulter la page Instructions de désinstallation.

Cyclonis Password Manager Details & Terms

Essai GRATUIT: Offre unique de 30 jours ! Aucune carte de crédit requise pour l'essai gratuit. Fonctionnalité complète pendant toute la durée de l'essai gratuit. (La fonctionnalité complète après l'essai gratuit nécessite l'achat d'un abonnement.) Pour en savoir plus sur nos politiques et nos tarifs, consultez le CLUF, la politique de confidentialité, les conditions de remise et la page d'achat. Si vous souhaitez désinstaller l'application, veuillez consulter la page Instructions de désinstallation.

Accueil

Produits

Cyclonis Backup Cyclonis Password Manager Cyclonis World Time

Assistance

Aide FAQs Downloads Demandes d'informations et Assistance

Société

À propos de nous Contact Us Report Abuse

Legal (Post Merger)

EnigmaSoft Limited (fka Cyclonis Limited)

Cyclonis Backup's Terms of Service Cyclonis Password Manager's EULA Cyclonis World Time's Terms of Service Politique de confidentialité Politique de Cookies Special Discount Offer Terms Additional Terms & Conditions SpyHunter EULA RegHunter EULA EnigmaSoft Privacy Policy & Cookie Policy ESG Privacy Policy & Cookie Policy EnigmaSoft Discount Offer Terms ESG Discount Offer Terms

© 2017-2024 Cyclonis Ltd. CYCLONIS is a trademark of EnigmaSoft Limited (Cyclonis was merged into EnigmaSoft Limited effective November 25, 2023.) All rights reserved.

Registered Office EnigmaSoft Limited: 1 Castle Street, 3rd Floor, Dublin 2 D02 XD82, Ireland.
EnigmaSoft Limited, Private Company Limited by shares, Company Registration Number 597114.

Windows est une marque de Microsoft, déposée aux États-Unis et dans d'autres pays.
Mac, iPhone, iPad et App Store sont des marques commerciales d'Apple Inc., déposées aux États-Unis et dans d'autres pays.
iOS est une marque déposée de Cisco Systems, Inc. et/ou de ses filiales aux États-Unis et dans certains autres pays.
Android et Google Play sont des marques déposées de Google LLC.