Yik Yak, une application qui agit comme un babillard anonyme local, permet de trouver les emplacements précis et les identifiants uniques des utilisateurs, Carte mère rapports. Un chercheur qui a analysé les données de Yik Yak a pu accéder aux coordonnées GPS précises de l’origine des publications et des commentaires, précises à moins de 10 à 15 pieds, et dit qu’il a apporté ses découvertes à l’entreprise en avril.
Lancé pour la première fois en 2013, Yik Yak était populaire sur les campus universitaires, où il était souvent utilisé pour bavarder, publier des mises à jour et cyberintimidateur autres étudiants. Après une perte de pertinence et des tentatives infructueuses de modération de contenu, l’application a fermé ses portes en 2017, pour ressusciter d’entre les morts l’année dernière. En novembre, la société a dit il avait passé 2 millions d’utilisateurs.
Carte mère s’est entretenu avec David Teather, un étudiant en informatique basé à Madison, dans le Wisconsin, qui a fait part des problèmes de sécurité à Yik Yak et a ensuite publié ses conclusions dans un article de blog. L’application affiche les publications des utilisateurs à proximité, mais n’affiche que l’emplacement approximatif, tel que « à environ 1 mile », jusqu’à 8 km, pour donner aux utilisateurs une idée d’où proviennent les mises à jour de leur communauté à proximité.
Bien que Yik Yak promette l’anonymat, Teather souligne que la combinaison des coordonnées GPS et des identifiants d’utilisateur pourrait anonymiser les utilisateurs et découvrir où les gens vivent, car beaucoup sont susceptibles de l’utiliser depuis leur domicile et les données sont précises à moins de 10 à 15 pieds. Cette combinaison d’informations pourrait être utilisée pour traquer ou surveiller une personne en particulier, et Teather mentionne que le risque pourrait être plus élevé pour les personnes vivant dans des zones rurales où les maisons sont distantes de plus de 10 à 15 pieds, car une position GPS pourrait réduire un utilisateur à une adresse.
Comme Carte mère rapports, les données sont accessibles à des chercheurs comme Teather, qui savent utiliser des outils et écrire du code pour extraire des informations – mais le risque était suffisamment réel pour inciter Teather à le porter à l’attention de Yik Yak.
j’ai découvert que @YikYakApp expose des millions d’emplacements d’utilisateurs en envoyant des coordonnées GPS précises de tous les messages et commentaires (précis dans les 10 à 15 pieds) à l’application, ceux-ci peuvent être récoltés par des acteurs malveillants pour suivre les emplacements des utilisateurs.https://t.co/pgT809okv7
– David Teather (@david_teather) 9 mai 2022
« Étant donné que les identifiants d’utilisateur sont persistants, il est possible de déterminer la routine quotidienne d’un utilisateur, à savoir quand et d’où il publie des YikYaks, cela peut être utilisé pour découvrir la routine quotidienne d’un utilisateur YikYak particulier », écrit Teather. Il a énuméré d’autres façons d’abuser des données, comme découvrir où vit quelqu’un, surveiller les utilisateurs ou pénétrer par effraction dans la maison de quelqu’un lorsqu’il n’est pas là.
Yik Yak n’a pas répondu à une demande de commentaire de Le bord.
Selon Carte mère, la dernière version de l’application publiée par Yik Yak n’expose plus l’emplacement précis et les identifiants d’utilisateur, mais Teather dit qu’il peut toujours récupérer ces informations en utilisant les versions précédentes de l’application.
« Si YikYak prenait cela plus au sérieux, il empêcherait ces champs d’être renvoyés et casserait les anciennes versions et obligerait les utilisateurs à passer à une version plus récente de l’application », a-t-il écrit dans le billet de blog.