Application de messagerie populaire JusTalk a laissé une énorme base de données de messages privés non chiffrés exposés publiquement à Internet sans mot de passe pendant des mois.
L’application de messagerie compte environ 20 millions d’utilisateurs internationaux, tandis que Google Play répertorie JusTalk Kids, présenté comme une version adaptée aux enfants de son application de messagerie, a accumulé plus d’un million de téléchargements Android.
JusTalk indique que ses deux applications de messagerie sont cryptées de bout en bout et se vante sur son site Web que « seuls vous et la personne avec qui vous communiquez pouvez les voir, les lire ou les écouter : même l’équipe JusTalk n’aura pas accès à vos données ! »
Mais ce n’est pas vrai. Une base de données de journalisation utilisée par l’entreprise pour suivre les bogues et les erreurs avec les applications a été laissée sur Internet sans mot de passe, selon un chercheur en sécurité Anurag Senqui a trouvé la base de données exposée et a demandé à TechCrunch de l’aider à signaler la défaillance à l’entreprise.
La base de données et les centaines de gigaoctets de données qu’elle contient, hébergées sur un serveur cloud hébergé par Huawei en Chine, sont accessibles depuis le navigateur Web simplement en connaissant son adresse IP. Shodan, un moteur de recherche pour les appareils et les bases de données exposés, montre que le serveur stockait en permanence la valeur des journaux du mois le plus récent depuis au moins début janvier, lorsque la base de données a été exposée pour la première fois.
Peu de temps après que nous ayons signalé que l’application n’était pas cryptée de bout en bout comme le prétend la société, la base de données a été fermée.
Juphoon, la société cloud basée en Chine à l’origine de l’application de messagerie, déclare sur son site Web qu’elle a créé JusTalk en 2016 et qu’elle est désormais détenue et exploitée par Ningbo Jus, une société qui semble partager le même bureau que celui répertorié sur le site Web de Juphoon.
Leo Lv, directeur général de Juphoon et fondateur de JusTalk, a ouvert nos e-mails mais n’a pas répondu, ni dit si l’entreprise prévoyait d’informer les utilisateurs de la faille de sécurité.
Étant donné que les données du serveur étaient entremêlées de journaux et d’autres données lisibles par ordinateur, on ne sait pas exactement combien de personnes ont vu leurs messages privés exposés par la faille de sécurité.
Le serveur collectait et stockait plus de 10 millions de journaux individuels chaque jour, y compris des millions de messages envoyés via l’application, y compris les numéros de téléphone de l’expéditeur, du destinataire et du message lui-même. La base de données a également enregistré tous les appels passés, qui comprenaient les numéros de téléphone de l’appelant et du destinataire dans chaque enregistrement.
Étant donné que chaque message enregistré dans la base de données contenait tous les numéros de téléphone dans le même chat, il était possible de suivre des conversations entières, y compris des enfants qui utilisaient l’application JusTalk Kids pour discuter avec leurs parents. Une chaîne de conversation contenait suffisamment d’informations personnelles pour identifier un pasteur qui utilisait l’application pour solliciter une travailleuse du sexe qui répertorie publiquement son numéro de téléphone pour ses services, y compris l’heure, le lieu et le prix de sa rencontre.
Aucun des messages n’a été crypté, malgré les affirmations de JusTalk.
Nous avons également signalé précédemment que la base de données comprenait également des données de localisation granulaires de milliers d’utilisateurs collectées à partir des téléphones des utilisateurs, avec de grands groupes d’utilisateurs aux États-Unis, au Royaume-Uni, en Inde, en Arabie saoudite, en Thaïlande et en Chine continentale. La base de données contenait également des enregistrements d’une troisième application, JusTalk 2nd Phone Number, qui permet aux utilisateurs de générer des numéros de téléphone virtuels et éphémères à utiliser au lieu de donner leur numéro de téléphone portable privé. Un examen de certains de ces enregistrements montre que la base de données enregistrait à la fois le numéro de téléphone portable de la personne et chaque numéro de téléphone éphémère généré.
Mais TechCrunch a trouvé des preuves que Sen n’était pas le seul à trouver la base de données exposée.
Une note de rançon non datée laissée sur la base de données suggère qu’elle a été consultée au moins une fois par un extorqueur de données, un mauvais acteur qui scanne Internet à la recherche de bases de données exposées afin de le voler et de menacer de publier les données à moins d’une rançon de quelques centaines dollars de crypto-monnaie sont payés.
On ne sait pas si des données JusTalk ont été perdues ou volées à la suite de l’accès de l’extorqueur, mais l’adresse blockchain associée à la note de rançon montre qu’elle n’a pas encore reçu de fonds.