Une fuite de données choquante dans les applications de porte-clés a exposé 14 millions d'utilisateurs

Key Ring Data Leak

Si vous pensez toujours que de graves fuites de données ne sont pas si courantes, nous avons une histoire qui pourrait bien être sur le point de changer d'avis. En janvier, une équipe de chercheurs dirigée par Noam Rotem et Ran Locar a trouvé un compartiment AWS S3 mal configuré qui exposait une grande quantité d'informations. Malheureusement, dans leur article pour vpnMentor, les experts ont admis qu'ils étaient si occupés à signaler d'autres fuites de données à l'époque, qu'ils ne pouvaient pas immédiatement enquêter sur le problème et informer les personnes responsables de l'exposition. Ce n'est qu'environ un mois plus tard qu'ils ont finalement pu travailler sur cette fuite particulière.

Les fournisseurs de services peinent toujours à maîtriser les mécanismes de sécurité offerts par les solutions de stockage en nuage, et des fuites apparaissent à gauche, à droite et au centre. Les experts ne sont pas en mesure de suivre et, comme toujours, l'utilisateur sans méfiance doit en supporter les conséquences. Dans ce cas, les conséquences potentielles étaient énormes.

L'application Key Ring expose les portefeuilles numériques des utilisateurs au monde entier

Les chercheurs ont découvert que le premier seau contenait 44 millions d'images. C'est beaucoup de données, mais la partie vraiment choquante est la nature des informations exposées. Une fois qu'ils ont trouvé le temps d'investiguer, les chercheurs ont découvert que le seau S3 mal configuré appartenait à Key Ring - une application mobile qui vous donne, entre autres, la possibilité de numériser la plupart du contenu de votre portefeuille. Il vous permet de photographier et de stocker des copies virtuelles de produits tels que des cartes de membre et des cartes-cadeaux. Certaines des 14 millions de personnes qui utilisent l'application ont également téléchargé des analyses de leurs cartes de crédit et de leurs papiers d'identité. Pendant qu'ils le faisaient, ils pensaient probablement que leurs données seraient stockées en toute sécurité. Ils avaient tord.

Le seau S3 mal configuré contenait des numérisations de cartes de crédit, de cartes de membre et de fidélité, de cartes de cannabis médical, de permis de conduire et d'autres documents d'identification. Les images étaient stockées complètement en clair et étaient accessibles de n'importe où dans le monde. Vous pouvez déjà voir à quel point la fuite peut affecter les utilisateurs. Malheureusement, ce n'était pas la fin.

Les seaux S3 mal configurés du porte-clés ont divulgué des tonnes d'informations personnelles

Dans le même seau, les chercheurs ont trouvé des fichiers CSV qui contenaient des informations personnelles identifiables (PII) qui appartiennent à des millions de personnes. Ces personnes figuraient sur les listes d'adhésion des partenaires Key Ring comme Walmart, et les listes contenaient une myriade de détails personnels tels que les noms, adresses, dates de naissance, etc.

Après un peu plus de fouille, l'équipe de Noam Rotem et Ran Locar a trouvé quatre autres seaux S3 mal configurés associés au porte-clés. Ils contenaient de vieux instantanés de la base de données de l'application et exposaient, entre autres, les adresses e-mail et personnelle des utilisateurs, les adresses IP, les informations sur les appareils, etc. Les bases de données contenaient également des mots de passe qui, selon les chercheurs, étaient "cryptés". Malheureusement, le mécanisme pour les brouiller n'est pas clair.

On ignore également si les chercheurs ont été les seuls à avoir réussi à trouver les données exposées. Le 18 février, ils ont finalement réussi à entrer en contact avec Key Ring et Amazon, et deux jours plus tard, les seaux ont été retirés, mais à ce stade, nous ne savons pas quand ils ont été mis en place en premier lieu. Malheureusement, nous devons souligner que bien que les informations aient été obtenues relativement rapidement, l'attitude de Key Ring envers l'incident n'est guère exemplaire.

Lorsque de telles fuites se produisent, les utilisateurs s'attendent à recevoir des notifications individuelles qui leur indiquent ce qui s'est passé et ce qu'ils doivent rechercher. Pendant ce temps, le grand public attend une annonce officielle du vendeur, qui fournira également des détails sur l'incident et sur les précautions prises pour éviter que cela ne se reproduise. Avec Key Ring, nous n'avons vu aucune de ces choses.

Le volume des données exposées, couplé à l'absence de réponse officielle, signifie que nous ne pouvons rien faire de plus que de supposer que les 14 millions d'utilisateurs de porte-clés sont touchés. Si vous êtes l'un d'entre eux, vous devez être beaucoup plus prudent que d'habitude, surtout si vous avez stocké des données sensibles avec l'application.

Par Duran
April 7, 2020
News
Français
April 7, 2020
News

Articles Populaires

Microsoft prévient que les acteurs de la menace soutenus par...

Il y a 4 days

Détection des logiciels malveillants Trojan Al11

Il y a 11 months

Pinaview est une application publicitaire complète

Il y a 10 months

Pop-ups "Votre iCloud est piraté" et "Votre iPhone a été piraté"

Il y a 7 months

Qu'est-ce que Lucky Ransomware ?

Il y a 7 months

Arnaque par e-mail « American Express – Mettez à jour les...

Il y a 6 months
Français
Chargement...

Cyclonis Backup Details & Terms

Le plan Free Basic Cyclonis Backup vous offre 2 Go d'espace de stockage dans le cloud avec toutes les fonctionnalités! Pas de carte de crédit nécessaire. Besoin de plus d'espace de stockage? Achetez un plan Cyclonis Backup plus important dès aujourd'hui! Pour en savoir plus sur nos politiques et nos tarifs, consultez les conditions d'utilisation, la politique de confidentialité, les conditions de remise et la page d'achat. Si vous souhaitez désinstaller l'application, veuillez consulter la page Instructions de désinstallation.

Cyclonis Password Manager Details & Terms

Essai GRATUIT: Offre unique de 30 jours ! Aucune carte de crédit requise pour l'essai gratuit. Fonctionnalité complète pendant toute la durée de l'essai gratuit. (La fonctionnalité complète après l'essai gratuit nécessite l'achat d'un abonnement.) Pour en savoir plus sur nos politiques et nos tarifs, consultez le CLUF, la politique de confidentialité, les conditions de remise et la page d'achat. Si vous souhaitez désinstaller l'application, veuillez consulter la page Instructions de désinstallation.

Accueil

Produits

Cyclonis Backup Cyclonis Password Manager Cyclonis World Time

Assistance

Aide FAQs Downloads Demandes d'informations et Assistance

Société

À propos de nous Contact Us Report Abuse

Legal (Post Merger)

EnigmaSoft Limited (fka Cyclonis Limited)

Cyclonis Backup's Terms of Service Cyclonis Password Manager's EULA Cyclonis World Time's Terms of Service Politique de confidentialité Politique de Cookies Special Discount Offer Terms Additional Terms & Conditions SpyHunter EULA RegHunter EULA EnigmaSoft Privacy Policy & Cookie Policy ESG Privacy Policy & Cookie Policy EnigmaSoft Discount Offer Terms ESG Discount Offer Terms

© 2017-2024 Cyclonis Ltd. CYCLONIS is a trademark of EnigmaSoft Limited (Cyclonis was merged into EnigmaSoft Limited effective November 25, 2023.) All rights reserved.

Registered Office EnigmaSoft Limited: 1 Castle Street, 3rd Floor, Dublin 2 D02 XD82, Ireland.
EnigmaSoft Limited, Private Company Limited by shares, Company Registration Number 597114.

Windows est une marque de Microsoft, déposée aux États-Unis et dans d'autres pays.
Mac, iPhone, iPad et App Store sont des marques commerciales d'Apple Inc., déposées aux États-Unis et dans d'autres pays.
iOS est une marque déposée de Cisco Systems, Inc. et/ou de ses filiales aux États-Unis et dans certains autres pays.
Android et Google Play sont des marques déposées de Google LLC.