Vous n'avez pas encore de notification

Page d'accueil

Options d'affichage

Abonné

Actualités

Abonné

Des thèmes sont disponibles :

Thème de baseThème de baseThème sombreThème sombreThème yinyang clairThème yinyang clairThème yinyang sombreThème yinyang sombreThème orange mécanique clairThème orange mécanique clairThème orange mécanique sombreThème orange mécanique sombreThème rose clairThème rose clairThème rose sombreThème rose sombre

Vous n'êtes pas encore INpactien ?

Inscrivez-vous !

Ai.Type : importante fuite de données pour le clavier alternatif, 31 millions de clients concernés

Le WTF rencontre le facepalm
Internet 3 min
Ai.Type : importante fuite de données pour le clavier alternatif, 31 millions de clients concernés
Crédits : mediaphotos/iStock

Encore une fuite d'informations personnelles, de nouveau via une base de données MongoDB mal sécurisée. 31 millions d'utilisateurs du clavier alternatif Ai.Type sont ainsi impactés : de nombreux détails étaient librement accessibles sur Internet.

Les bases de données MongoDB sont régulièrement la cible des pirates, qui n'ont parfois qu'à se servir à cause d'une mauvaise configuration. Le clavier alternatif Ai.Type vient d'en faire les frais : une BDD de 577 Go était librement accessible (sans mot de passe) en lecture et en écriture, comme le rapportent nos confrères de MacKeeper.

Le serveur appartient au co-fondateur de l'application, Eitan Fitus, ajoute ZDNet, qui a également pu accéder à une partie de la base de données. Après plusieurs tentatives pour le contacter, Fitus reconnait finalement le manque de sécurité à nos confrères et sécurise la base, sans davantage d'explications. Seuls les utilisateurs Android seraient concernés, mais cela reste à confirmer.

31 millions de clients touchés, 373 millions de données accessibles

Plus de 31 millions de clients sont impactés par cette fuite, contenant de très nombreuses informations personnelles : numéro de téléphone, nom du propriétaire, marque et modèle du smartphone, information sur le réseau mobile, définition de l'écran, langues, version d'Android, numéros IMSI et IMEI, emails associés au téléphone, pays de résidence, informations et liens des réseaux sociaux (Google+, Facebook, etc.) adresse IP et enfin la localisation (longitude et latitude)... excusez du peu.

Pire encore, plus de 6 millions d'entrées contiennent des numéros de téléphone et noms récupérés dans les contacts du smartphone. Plusieurs tables de la base de données contenaient également la liste des applications installées note ZDNet.com. Au total, pas moins de 373 millions de données étaient ainsi librement accessibles selon MacKeeper.

Pas de chiffrement, du texte saisi par les utilisateurs se trouverait dans la base de données

Vous en voulez encore ? Nos confrères ajoutent que l'ensemble des informations n'était pas chiffré… et ce n'est pas fini : « nous avons vu une table contenant plus de 8,6 millions d'entrées de texte saisies en utilisant le clavier ». Dans le lot, il serait question de « numéros de téléphone, de mots clés pour des recherches sur le Web et, dans certains cas, des adresses email concaténées et des mots de passe correspondants ».

« En théorie, il est logique que toute personne ayant téléchargé et installé le clavier virtuel Ai.Type sur son téléphone ait toutes les données de son téléphone en ligne » indique MacKeeper. De son côté, Ai.Type affirme sur la page de présentation de son clavier que « votre vie privée est notre principale préoccupation ». Effectivement, la société s'y intéresse de très près, beaucoup trop même...

Comme toujours, cette affaire soulève la question des droits accordés aux applications, souvent bien trop larges pour le service proposé. Mais les éditeurs en profitent parfois pour récupérer plus d'informations que nécessaire afin de les monétiser par la suite. « Si c'est gratuit, c'est que c'est vous le produit » comme le précise l'adage.

Comme le rappelle ZDNet, Ai.Type propose deux versions de son application : une gratuite avec publicité et une payante. Les deux collectent des informations personnelles des utilisateurs, mais le rayon d'action de la première est bien plus large... 

En attendant d'avoir plus de précision de la part d'Ai.Type – qui reste pour le moment muette – il est conseillé de changer vos mots de passe si vous utilisez cette application. 

 

44 commentaires
Avatar de Peckemys Abonné
Avatar de PeckemysPeckemys- 06/12/17 à 07:54:27

Sidérant.

Par contre, pas envie de lire la politique de sécurité pour savoir en quoi la version gratuite est pire que la payante ! :roll:

Avatar de eglyn Abonné
Avatar de eglyneglyn- 06/12/17 à 08:06:03

Je comprendrais jamais les admin qui laisse une bdd sans mot de passe...
Après, je trouve ça très bizarre qu'à l'install de MongoDB aucun mot de passe ne soit imposé...

Avatar de gavroche69 Abonné
Avatar de gavroche69gavroche69- 06/12/17 à 08:08:50

Bof, vu la fréquence à laquelle sont publiées ces news sur le piratage je dirais que c'est plus "routinier" que "sidérant"... :D

Ils devraient recruter chez Pampers, paraît qu'ils sont doués pour "l'anti-fuites"... :fumer:

Édité par gavroche69 le 06/12/2017 à 08:11
Avatar de Highmac87 INpactien
Avatar de Highmac87Highmac87- 06/12/17 à 08:12:31

comme le rapportent nos confrères de MacKeeper.Heu ! MacKeeper, le "pouriciel" que les utilisateurs confirmés sur Mac connaissent et qui ne l'installent pas.

Avatar de secouss Abonné
Avatar de secousssecouss- 06/12/17 à 08:12:51

Attendez, si je comprend bien, c'est une appli "clavier" qui collecte cette myriade de données qui ne lui servent à rien pour fonctionner mais se revendent drolement bien ? :mad2:

Avatar de the_pinkfloyd INpactien
Avatar de the_pinkfloydthe_pinkfloyd- 06/12/17 à 08:17:11

Heuuu je reviens j'ai quelques mdp a changer moi... et apres je retourne fumer l'editeur.. pardon, le stagiaire dans son garage...

Avatar de jotak Abonné
Avatar de jotakjotak- 06/12/17 à 08:21:46

Quoi de mieux qu'un clavier virtuel pour faire un keylogger? :bravo:

Les apps permettant de remplacer le clavier virtuel devraient
systématiquement être auditées par google/apple avant d'atterrir sur les
stores.

Édité par jotak le 06/12/2017 à 08:24
Avatar de tifounon Abonné
Avatar de tifounontifounon- 06/12/17 à 08:28:48

eglyn a écrit :

Je comprendrais jamais les admin qui laisse une bdd sans mot de passe...
Après, je trouve ça très bizarre qu'à l'install de MongoDB aucun mot de passe ne soit imposé...

Les vieilles versions n'imposaient pas une configuration à minima secure.

jotak a écrit :

Quoi de mieux qu'un clavier virtuel pour faire un keylogger? :bravo:

Les apps permettant de remplacer le clavier virtuel devraient
systématiquement être auditées par google/apple avant d'atterrir sur les
stores.

Surtout que Google/Apple devrait directement restreindre les autorisations en fonction de la finalité de l'appli. Ex : clavier virtuel => pas d'enregistrement des données, pas d'accès au contact ectc. Mais cela requeirt peut être une modification plus fine de l'OS pour gérer ces autorisations.

Avatar de Tophe Abonné
Avatar de TopheTophe- 06/12/17 à 08:36:19

Je n’utilisais aucun clavier alternatif pour éviter ça justement...
Même si le clavier par défaut est perfectible (sous iOS) au moins, les données restent DANS le téléphone...

Avatar de FlamingFlowair INpactien
Avatar de FlamingFlowairFlamingFlowair- 06/12/17 à 08:38:56

"clavier virtuel => pas d'enregistrement des données, pas d'accès au contact"

Hmm, en même temps, la présence des contacts dans les prédictions du clavier sont utiles bien que pas indispensable.

Il est très dur d'appliquer des règles générales, certaines collectes peuvent être fait dans un but d'apport de fonctionnalité.

Il n'est plus possible de commenter cette actualité.
Page 1 / 5