Plus de 42 Millions de Dossiers d'Utilisateurs dans des Applis de Rencontres Révélés par une Base de données Non Protégée

Five Dating Apps Expose Millions of User Records

La plupart des internautes pensent que ce sont les vendeurs et les fournisseurs de services qui doivent protéger leurs données contre les pirates informatiques. Si nous devons être particulièrement pointilleux à propos de tout cela, nous dirions que la formulation n’est pas tout à fait exacte.

« Protéger » les données signifie éliminer tous les moyens possibles de les violer. Comme le savent les personnes qui s'intéressent à la cybersécurité, ce n’est tout simplement pas possible. En fait, ce que les responsables de nos données devraient faire, c'est rendre le travail des pirates informatiques aussi difficile que possible. Certaines organisations proposent des résultats relativement satisfaisants à cet égard.

Récemment, par exemple, les cybercriminels ont réussi à percer la sécurité du service d'agrégateur d'informations Flipboard, et ils ont obtenu un nombre encore inconnu d'identifiants de connexion. Dû au fait que la plupart des mots de passe ont été cachés de manière sécurisée, les escrocs informatiques ne peuvent aucunement les utiliser. Pour plus de sécurité, Flipboard demandera à tous ses utilisateurs de réinitialiser leurs mots de passe lors de la connexion. C’est ainsi que les fournisseurs de services responsables doivent procéder.

À l'autre extrémité, il existe des développeurs qui déchargent les informations des personnes sur un serveur connecté à Internet qui n'est protégé en aucune mesure. Au cours des derniers mois, des chercheurs ont découvert plus à quelques serveurs qui exposaient les données des utilisateurs à toute personne qui est prête à les consulter. Le 25 mai, le chercheur et journaliste de SecurityDiscovery.com, Jeremiah Fowler a trouvé le dernier exemple en date.

Cinq applications de rencontres exposent des millions de dossiers

Peu de temps après avoir découvert l'installation incriminée d'Elasticsearch, Fowler a relevé plusieurs indices suggérant qu'il consultait des informations recueillies par une application de rencontres. Après avoir effectué un peu de recherches, il a révélé que les données appartenaient aux utilisateurs de cinq services de matchmaking différents. Les noms sont les suivants:

  • Cougardating
  • Christiansfinder
  • Mingler
  • Fwbs
  • TS

Curieusement, nous pouvons suggérer depuis les informations disponibles sur les applications susmentionnées qu'elles sont développées et distribuées par des entités complètement différentes. Toutefois, ce n'est pas exactement le cas, ces dernières semblent stocker les données de leurs utilisateurs dans la même base de données.

Il est difficile d'affirmer qu'ils ont tous été développés par les mêmes personnes, mais il est indéniable que les responsables ne semblent pas s'intéresser à la protection de la base de données. En fait, ils ne semblent pas intéressés à être contactés du tout.

La connexion chinoise

La base de données est hébergée sur un serveur basé aux États-Unis et la plupart des personnes affectées sont américaines. Pourtant, lorsque Fowler a consulté les dossiers Whois pour les sites Web des applications, il a découvert qu’ils venaient le plus probablement de Chine. Malheureusement, il n'a pas pu utiliser ces informations pour rapprocher les développeurs et les aider à sécuriser les données des internautes.

Il est très important de noter que certains des domaines étaient confidentiels, ce qui signifie qu'il n'y avait aucune information de contact publiquement disponible sur le propriétaire. Avec d'autres, les données de contact étaient factices, l'une des applications avait une adresse liée au domaine qui s'est avéré être une station de métro dans la ville chinoise de Lanzhou. Après avoir constaté qu'il est peu probable de contacter quelqu'un qui puisse obtenir les données exposées, Fowler a décidé de partager publiquement les informations et d'avertir les utilisateurs des applications qui ne soupçonnent probablement rien.

Il est temps de commencer à apprécier l’importance de votre nom d’utilisateur

La base de données révèle au total de 42,5 millions d’enregistrements d’utilisateurs, et Jeremiah Fowler a noté qu’aucun d’entre eux ne contenait de « DPI ». « DPI » signifie Données personnellement identifiables et, au fil des années, les experts discutaient la signification du terme. Il est clair pourquoi c'est une chose difficile à comprendre.

Par exemple, la base de données Elasticsearch trouvée par Fowler, ne contient aucun nom réel, mot de passe, adresse réelle ou toute autre information particulièrement révélatrice. Vous ne trouverez qu'une adresse IP, un âge, une location et un nom d'utilisateur. En ce qui concerne son rapport, il n'y avait même pas des courriers électroniques, ce qui pourrait amener certains utilisateurs à pousser un soupir de soulagement.

Comme Fowler l'a noté, cependant, les choses ne sont pas si simples. Beaucoup de gens utilisent des surnoms pour cacher leur véritable identité. Il arrive souvent de réutiliser les surnoms, comme les mots de passe, ils sont parfois utilisés sur des sites Web contenant de nombreuses informations personnelles. Avec l'aide du moteur de recherche Google et en utilisant certains des noms d'utilisateur de la base de données non sécurisée, Fowler a réussi à faire le lien entre des enregistrements et des identités réelles, et comme il avait aussi la géolocalisation des utilisateurs concernés, il est très probable qu'il ait obtenu de véritables résultats.

Vous pouvez tirer au moins deux leçons de cette exposition de données. La première est que, si vous envisagez d'installer une application dont peu de gens ont entendue parler, il est conseillé de prendre le temps nécessaire de faire un peu plus de recherches à l'avance, et si vous pensez que le développeur ne partage pas trop d'informations, vous devriez réfléchir à deux fois si vous en avez vraiment besoin. La deuxième morale de l'histoire est que, si vous envisagez d'utiliser un service que vous ne voulez pas que d'autres personnes connaissent, vous devez vous assurer que votre nom d'utilisateur, tout comme votre mot de passe, ne reviendra pas vous hanter.

Par Duran
June 4, 2019
News
Français
June 4, 2019
News

Articles Populaires

Microsoft prévient que les acteurs de la menace soutenus par...

Il y a 4 days

Détection des logiciels malveillants Trojan Al11

Il y a 11 months

Pinaview est une application publicitaire complète

Il y a 10 months

Pop-ups "Votre iCloud est piraté" et "Votre iPhone a été piraté"

Il y a 7 months

Qu'est-ce que Lucky Ransomware ?

Il y a 7 months

Arnaque par e-mail « American Express – Mettez à jour les...

Il y a 6 months
Français
Chargement...

Cyclonis Backup Details & Terms

Le plan Free Basic Cyclonis Backup vous offre 2 Go d'espace de stockage dans le cloud avec toutes les fonctionnalités! Pas de carte de crédit nécessaire. Besoin de plus d'espace de stockage? Achetez un plan Cyclonis Backup plus important dès aujourd'hui! Pour en savoir plus sur nos politiques et nos tarifs, consultez les conditions d'utilisation, la politique de confidentialité, les conditions de remise et la page d'achat. Si vous souhaitez désinstaller l'application, veuillez consulter la page Instructions de désinstallation.

Cyclonis Password Manager Details & Terms

Essai GRATUIT: Offre unique de 30 jours ! Aucune carte de crédit requise pour l'essai gratuit. Fonctionnalité complète pendant toute la durée de l'essai gratuit. (La fonctionnalité complète après l'essai gratuit nécessite l'achat d'un abonnement.) Pour en savoir plus sur nos politiques et nos tarifs, consultez le CLUF, la politique de confidentialité, les conditions de remise et la page d'achat. Si vous souhaitez désinstaller l'application, veuillez consulter la page Instructions de désinstallation.

Accueil

Produits

Cyclonis Backup Cyclonis Password Manager Cyclonis World Time

Assistance

Aide FAQs Downloads Demandes d'informations et Assistance

Société

À propos de nous Contact Us Report Abuse

Legal (Post Merger)

EnigmaSoft Limited (fka Cyclonis Limited)

Cyclonis Backup's Terms of Service Cyclonis Password Manager's EULA Cyclonis World Time's Terms of Service Politique de confidentialité Politique de Cookies Special Discount Offer Terms Additional Terms & Conditions SpyHunter EULA RegHunter EULA EnigmaSoft Privacy Policy & Cookie Policy ESG Privacy Policy & Cookie Policy EnigmaSoft Discount Offer Terms ESG Discount Offer Terms

© 2017-2024 Cyclonis Ltd. CYCLONIS is a trademark of EnigmaSoft Limited (Cyclonis was merged into EnigmaSoft Limited effective November 25, 2023.) All rights reserved.

Registered Office EnigmaSoft Limited: 1 Castle Street, 3rd Floor, Dublin 2 D02 XD82, Ireland.
EnigmaSoft Limited, Private Company Limited by shares, Company Registration Number 597114.

Windows est une marque de Microsoft, déposée aux États-Unis et dans d'autres pays.
Mac, iPhone, iPad et App Store sont des marques commerciales d'Apple Inc., déposées aux États-Unis et dans d'autres pays.
iOS est une marque déposée de Cisco Systems, Inc. et/ou de ses filiales aux États-Unis et dans certains autres pays.
Android et Google Play sont des marques déposées de Google LLC.