Whisper, une application de médias sociaux qui promet l'anonymat, expose 900 millions d'enregistrements d'utilisateurs

Whisper Social Media Exposes User Records

La différence entre Whisper et les plateformes de médias sociaux plus conventionnelles comme Facebook ou Twitter est que vous n'avez pas besoin de saisir des informations personnelles pour les utiliser. Au lieu de cela, il vous suffit de choisir un nom d'utilisateur, d'indiquer votre âge et de partager librement vos pensées. Ceci étant un réseau social, d'autres personnes peuvent les voir, mais ils n'ont aucune idée de qui les a écrits.

Whisper a laissé 900 millions d'enregistrements d'utilisateurs dans une base de données non protégée

En raison de l'anonymat promis, les utilisateurs sont encouragés à publier des choses qu'ils éviteraient normalement de publier, et on leur dit qu'en utilisant Whisper, ils partagent leurs secrets les plus profonds sur "l'endroit le plus sûr sur Internet". C'est une affirmation audacieuse qui semble quelque peu étrange lorsque vous considérez que le site Web officiel de l'application se charge via HTTP plutôt que HTTPS par défaut. Cela devient encore plus étrange lorsque vous réalisez que la même application a laissé une base de données avec pas moins de 900 millions d'enregistrements d'utilisateurs exposés à Internet.

La découverte a été faite la semaine dernière par des chercheurs de Twelve Security. Le cluster Elasticsearch de 5 To était accessible à toute personne connectée à Internet, il n'était pas protégé par un mot de passe, et certaines des informations qu'il contenait remontaient au lancement de Whisper en 2012.

L'exposition aux données était-elle si grave?

Peu de temps après avoir découvert la base de données, les experts de Twelve ont contacté le FBI et le Washington Post. Le Post les a aidés à entrer en contact avec MediaLab, le développeur de l'application, et lundi, la base de données a été mise hors ligne. Malgré la réaction relativement rapide, MediaLab a fait valoir qu'il n'y avait rien de trop inquiétant à propos de la fuite.

Selon des représentants qui ont parlé au Washington Post, les utilisateurs avaient volontiers décidé de partager la plupart des données au sein de l'application Whisper, ce qui signifiait que même si cela n'était pas censé se produire, l'exposition n'était pas si énorme. Ils parlaient des millions de messages d'utilisateurs qui avaient été divulgués, et leur argument était que la fuite ne mettait pas l'anonymat des utilisateurs en danger immédiat. Cependant, les experts en sécurité n'étaient pas si sûrs.

La base de données qui fuyait ne contenait aucun nom, mais elle contenait l'âge, le sexe, la ville natale, le surnom et l'appartenance au groupe des utilisateurs individuels. Si quelqu'un essayait de comprendre l'identité d'un utilisateur Whisper, ces données auraient pu réduire considérablement les possibilités. Ajoutez à cela le fait que le dernier emplacement connu des utilisateurs concernés a également été révélé, et vous verrez que lier un message divulgué à une personne réelle était loin d'être impossible. Après le rapport du Post, The Register a également pris contact avec les chercheurs et s'est rendu compte que la gamme de métadonnées exposées était encore plus grande que prévu initialement. Il s'avère que les jetons de mot de passe étaient également inclus dans la base de données, et les chercheurs ont confirmé qu'en les utilisant, ils pouvaient se connecter aux comptes des gens. Du coup, le problème a paru beaucoup plus important que les représentants de MediaLab voudraient vous le faire croire. Pour ceux d'entre vous qui suivent de près les nouvelles concernant l'application Whisper, cela pourrait être un peu un moment de déjà vu.

Ce n'est pas la première controverse liée à la sécurité autour de Whisper

En 2014, les journalistes du Guardian ont été invités au siège de Whisper pour discuter d'un partenariat potentiel entre le média et l'application de médias sociaux. Pendant qu'ils étaient là, ils ont appris que Whisper avait mis en place des mécanismes qui permettraient de suivre l'emplacement des personnes, même lorsque les utilisateurs avaient explicitement choisi de ne pas le faire.

Après la publication du rapport, les représentants du réseau social ont nié toutes les allégations et accusé publiquement le journal britannique de publier des mensonges. Finalement, lesdits représentants ont été licenciés et le suivi a apparemment été arrêté.

À l'heure actuelle, les employés de MediaLab essaient une fois de plus de convaincre le public que les choses ne sont pas aussi mauvaises que le suggèrent les reportages, et malheureusement, nous devons dire qu'ils n'en ont pas vraiment fait assez pour nous assurer que c'est plus qu'une simple tentative pour minimiser la gravité de la situation.

Par Duran
March 13, 2020
News
Français
March 13, 2020
News

Articles Populaires

Microsoft prévient que les acteurs de la menace soutenus par...

Il y a 4 days

Détection des logiciels malveillants Trojan Al11

Il y a 11 months

Pinaview est une application publicitaire complète

Il y a 10 months

Pop-ups "Votre iCloud est piraté" et "Votre iPhone a été piraté"

Il y a 7 months

Qu'est-ce que Lucky Ransomware ?

Il y a 7 months

Arnaque par e-mail « American Express – Mettez à jour les...

Il y a 6 months
Français
Chargement...

Cyclonis Backup Details & Terms

Le plan Free Basic Cyclonis Backup vous offre 2 Go d'espace de stockage dans le cloud avec toutes les fonctionnalités! Pas de carte de crédit nécessaire. Besoin de plus d'espace de stockage? Achetez un plan Cyclonis Backup plus important dès aujourd'hui! Pour en savoir plus sur nos politiques et nos tarifs, consultez les conditions d'utilisation, la politique de confidentialité, les conditions de remise et la page d'achat. Si vous souhaitez désinstaller l'application, veuillez consulter la page Instructions de désinstallation.

Cyclonis Password Manager Details & Terms

Essai GRATUIT: Offre unique de 30 jours ! Aucune carte de crédit requise pour l'essai gratuit. Fonctionnalité complète pendant toute la durée de l'essai gratuit. (La fonctionnalité complète après l'essai gratuit nécessite l'achat d'un abonnement.) Pour en savoir plus sur nos politiques et nos tarifs, consultez le CLUF, la politique de confidentialité, les conditions de remise et la page d'achat. Si vous souhaitez désinstaller l'application, veuillez consulter la page Instructions de désinstallation.

Accueil

Produits

Cyclonis Backup Cyclonis Password Manager Cyclonis World Time

Assistance

Aide FAQs Downloads Demandes d'informations et Assistance

Société

À propos de nous Contact Us Report Abuse

Legal (Post Merger)

EnigmaSoft Limited (fka Cyclonis Limited)

Cyclonis Backup's Terms of Service Cyclonis Password Manager's EULA Cyclonis World Time's Terms of Service Politique de confidentialité Politique de Cookies Special Discount Offer Terms Additional Terms & Conditions SpyHunter EULA RegHunter EULA EnigmaSoft Privacy Policy & Cookie Policy ESG Privacy Policy & Cookie Policy EnigmaSoft Discount Offer Terms ESG Discount Offer Terms

© 2017-2024 Cyclonis Ltd. CYCLONIS is a trademark of EnigmaSoft Limited (Cyclonis was merged into EnigmaSoft Limited effective November 25, 2023.) All rights reserved.

Registered Office EnigmaSoft Limited: 1 Castle Street, 3rd Floor, Dublin 2 D02 XD82, Ireland.
EnigmaSoft Limited, Private Company Limited by shares, Company Registration Number 597114.

Windows est une marque de Microsoft, déposée aux États-Unis et dans d'autres pays.
Mac, iPhone, iPad et App Store sont des marques commerciales d'Apple Inc., déposées aux États-Unis et dans d'autres pays.
iOS est une marque déposée de Cisco Systems, Inc. et/ou de ses filiales aux États-Unis et dans certains autres pays.
Android et Google Play sont des marques déposées de Google LLC.