Une importante base de données de journaux de discussion appartenant à l’application de messagerie populaire JusTalk a été laissée sans protection sur le Web pendant des mois, accessible à quiconque savait où chercher.
Le chercheur en cybersécurité Anurag Sen a découvert la base de données, qui n’avait pas de mot de passe, stockant des données non cryptées, y compris de nombreuses informations personnellement identifiables, utiles pour les cybercriminels cherchant à se livrer au vol d’identité (s’ouvre dans un nouvel onglet)l’ingénierie sociale ou d’autres formes de cybercriminalité.
Les données comprenaient les messages eux-mêmes, les numéros de téléphone des utilisateurs (à la fois l’expéditeur et le destinataire), les journaux d’appels, tous triés juste assez pour pouvoir identifier des personnes spécifiques et des conversations spécifiques.
Des millions de victimes potentielles
En fait, en parcourant les journaux, Tech Crunch dit avoir réussi à trouver un pasteur sollicitant une travailleuse du sexe qui a indiqué publiquement son numéro de téléphone. Le journal comprenait l’heure, le lieu et le prix de la réunion.
La base de données elle-même a une taille de « centaines de gigaoctets » et est hébergée sur un serveur Huawei en Chine. Pour y accéder, la seule chose dont une personne aurait besoin est un navigateur et son adresse IP. Avec l’aide du moteur de recherche de base de données Shodan, le chercheur a découvert que le serveur stockait de nouvelles données dans la base de données dès janvier de cette année, lorsqu’il a été exposé pour la première fois.
Il est impossible de savoir exactement combien de personnes ont vu leurs données sensibles exposées dans cette erreur, mais nous savons que JusTalk compte environ 20 millions d’utilisateurs. Il a également JusTalk Kids, une application distincte pour les mineurs, avec plus d’un million de téléchargements sur Android.
Après que Sen ait signalé le problème à JusTalk, il a apparemment fermé la base de données, mais a également décidé de ne pas commenter les résultats.
Sen n’était apparemment pas non plus le premier à découvrir cette base de données, car elle contenait une note de rançon, ce qui signifie que quelqu’un avait essayé de l’utiliser pour extorquer de l’argent à l’entreprise, mais on ne sait pas s’ils ont réussi ou non pour le moment.
Via : TechCrunch (s’ouvre dans un nouvel onglet)