Une violation des données de Peekaboo Moments expose les photos et vidéos de bébé

Lorsque les spécialistes de la sécurité vous disent que n'importe qui peut être victime d'une violation de données, ils n'exagèrent pas dans l'espoir de mettre tout le monde dans un état de panique inutile. Dan Ehrlich, d'une société de conseil en sécurité appelée Twelve Security, a récemment découvert une base de données assez volumineuse, qui a montré que vous n'avez même pas besoin de savoir comment utiliser un appareil électronique pour compromettre votre confidentialité.

La base de données en question était hébergée sur des serveurs appartenant à Alibaba Cloud et contenait environ 100 Go d'informations collectées entre mars 2019 et janvier 2020. Il y avait beaucoup de raisons de s'inquiéter, mais Ehrlich était particulièrement inquiet lorsqu'il a trouvé des liens qui conduisaient à ce qui ressemblait à des photos et des vidéos de bébés. Après une courte enquête, il s'est rendu compte que les données fuyaient de Peekaboo Moments - une application mobile qui aide les parents à suivre la croissance de leurs enfants.

Peekaboo Moments expose des tonnes de données personnelles

Ehrlich a contacté Jeremy Kirk, du groupe des médias de la sécurité de l'information, qui a tenté d'aider à la divulgation responsable de l'incident. Les deux ont fouillé la base de données exposée et ont découvert qu'elle contenait plus de 70 millions de fichiers journaux, qui, en plus des liens vers des photos et des vidéos, contenaient toutes sortes d'informations personnelles appartenant aux parents et aux nourrissons. Les adresses e-mail associées à "au moins" 800 mille comptes Peekaboo Moments ont été trouvées dans les données, tout comme les clés API qui permettent aux utilisateurs de connecter l'application à leurs profils Facebook. Armé de ces informations, un pirate pourrait accéder aux informations partagées sur le réseau social de Mark Zuckerberg, et l'attaque a été rendue encore plus facile car Peekaboo Moments a exposé certaines de ses propres clés API.

Les journaux contenaient également des statistiques d'utilisation et une quantité inquiétante d'informations relatives aux bébés du monde entier. En plus des photos et des vidéos, la base de données a divulgué les dates de naissance des nouveau-nés ainsi que des informations sur leur poids et leur taille. Des données GPS ont également été divulguées, ce qui aurait permis aux attaquants de localiser précisément les enfants.

Comment Peekaboo Moments s'est-il retrouvé dans ce pétrin?

Si vous lisez le matériel marketing sur la page Google Play de Peekaboo Moments, vous aurez l'impression que Bithouse, Inc., le développeur de l'application, est pleinement conscient de l'importance de garder les données des utilisateurs privées. Les faits suggèrent cependant le contraire.

Les informations divulguées ont été placées sur un serveur Elasticsearch non protégé accessible à toute personne disposant d'un navigateur et d'une connexion Internet. Bithouse est loin d'être la seule entreprise à avoir commis cette erreur, mais le fait qu'il existe de nombreux autres délinquants ne peut pas vraiment servir de facteur d'atténuation des reproches, surtout lorsque vous savez que la sécurité des nourrissons est en jeu. Selon Dan Ehrlich, la base de données mal configurée n'est que la pointe de l'iceberg.

Il a déclaré à Information Security Media Group que "tout" sur l'application est "bizarrement fait et extrêmement précaire". Ehrlich n'est pas entré dans trop de détails, mais nous sommes sûrs qu'au moins une partie de sa critique a quelque chose à voir avec le fait que par défaut, le site officiel de Peekaboo Moments (avec un formulaire de connexion sur la page d'accueil) charge sous HTTP plutôt que HTTPS.

En parlant du site Web de l'application, si vous y accédez, vous trouverez une annonce concernant la fuite de données écrite par Jason Liu, PDG de Peekaboo Moments. Selon le communiqué, la fuite a été causée par un serveur de journalisation mal configuré qui contenait "une très petite partie" des données des utilisateurs. Liu s'est excusé pour la violation, a promis que son entreprise tenterait de faire mieux à partir de maintenant et a tenté de convaincre tout le monde qu'à part Ehrlich et Kirk, aucune personne extérieure n'avait accédé à la base de données. Apparemment, les liens vers les photos et vidéos des enfants ne sont plus actifs car Bithouse a sécurisé la base de données qui a fui "peu de temps" après avoir reçu le premier rapport.

La version des événements de Jeremy Kirk est un peu différente. Le rapport d'Information Security Media Group indique que plusieurs tentatives pour entrer en contact avec Jason Liu et son entreprise ont échoué. Selon Kirk, ce n'est que plusieurs heures après la parution de l'histoire que Bithouse a renvoyé un e-mail pour dire que le serveur était sécurisé.

Quoi qu'il en soit, la fuite de données de Peekaboo Moments peut servir de preuve que les incidents de cybersécurité peuvent affecter même les membres les plus innocents et les plus vulnérables de notre société. Cette violation particulière devrait probablement être gardée à l'esprit la prochaine fois que vous vous demanderez quelle application vous devez utiliser pour partager des photos de votre enfant.