[INFO] Les données personnelles de 31 millions d'utilisateurs d'un clavier virtuel pourraient avoir été dérobées

Le CERT-XMCO vous partage une information ayant fait l’actualité durant la semaine écoulée. Nous vous proposons de revenir sur la fuite d’information ayant impacté les données personnelles des utilisateurs de l’application AI.type en raison d’un défaut de configuration.


Description :

Des données personnelles concernant plus de 31 millions d’utilisateurs d’une application de type clavier virtuel nommée AI.type ont potentiellement été dérobées.

Le serveur hébergeant la base de données comportant des informations sur les utilisateurs de l’application ne disposait d’aucune restriction d’accès. Les 577 Go de données non chiffrées étaient donc accessibles publiquement. Les informations stockées dans cette base de données ne concerneraient que les utilisateurs de la version Android de l’application.

Les informations suivantes étaient stockées dans la base de données :
– nom et prénom ;
– adresse email ;
– nombre de jours depuis l’installation de l’application ;
– données de géolocalisation ;
– numéros IMSI et IMEI de l’appareil (uniquement pour la version gratuite de l’application) ;
– modèle de l’appareil (uniquement pour la version gratuite de l’application) ;
– résolution de l’écran (uniquement pour la version gratuite de l’application) ;
– version d’Android (uniquement pour la version gratuite de l’application) ;
– numéro de téléphone et opérateur (uniquement pour une partie des enregistrements) ;
– adresse IP et fournisseur d’accès à Internet (uniquement pour une partie des enregistrements) ;
– données relatives au profil Google public (uniquement pour une partie des enregistrements).

Les chercheurs ont également découvert une branche de la base de données comportant plus de 10 millions d’adresses email et une autre comportant plus de 370 millions de numéros de téléphone. Ces données concerneraient des contacts des utilisateurs de l’application. D’autres branches comportaient des informations sur les autres applications installées sur l’appareil des utilisateurs du clavier virtuel, notamment des applications bancaires et des applications de rencontre.

L’application a accès aux données des contacts, au contenu des messages échangés, aux photos, vidéos et autres données stockées sur l’appareil. Elle peut également procéder à un enregistrement audio et dispose d’un accès total au réseau.

Les chercheurs ont également trouvé des éléments indiquant que le texte entré via le clavier virtuel était parfois stocké par l’éditeur, contrairement à ce qu’il annonce sur son site Web.
Les conditions d’enregistrement du texte entré via le clavier virtuel n’ont pas été déterminées pour le moment, mais la base de données contiendrait des termes recherchés sur le Web ainsi que des adresses email et leurs mots de passe associés.

L’erreur de configuration a été découverte par des chercheurs du Kromtech Security Center. Ces derniers ont averti l’éditeur de l’application, qui a procédé à la sécurisation du serveur. Les informations contenues dans la base de données peuvent néanmoins tout à fait avoir été récupérées par des cybercriminels auparavant.


Références :

http://www.zdnet.com/article/popular-virtual-keyboard-leaks-31-million-user-data/

Référence CERT-XMCO :

Adrien Guinault

Découvrir d'autres articles