True se présente comme l’application de réseautage social qui «protégera votre vie privée». Mais une faute de sécurité a laissé l’un de ses serveurs exposé – et a déversé des données d’utilisateurs privés sur Internet pour que quiconque puisse les trouver.

L’application a été lancée en 2017 par Hello Mobile, un opérateur de téléphonie virtuelle peu connu qui se superpose au réseau de T-Mobile. Le site Web de True indique qu’il a levé 14 millions de dollars de financement de démarrage et a revendiqué plus d’un demi-million d’utilisateurs peu après son lancement.

Mais un tableau de bord pour l’une des bases de données de l’application a été exposé à Internet sans mot de passe, permettant à quiconque de lire, parcourir et rechercher dans la base de données, y compris les données des utilisateurs privés.

Mossab Hussein, responsable de la sécurité de la société de cybersécurité SpiderSilk, basée à Dubaï, a trouvé le tableau de bord exposé et a fourni des détails à TechCrunch. Les données fournies par BinaryEdge, un moteur de recherche pour les bases de données et les appareils exposés, ont montré que le tableau de bord était exposé depuis au moins début septembre.

Après avoir contacté, True a mis le tableau de bord hors ligne.

Bret Cox, directeur général de True, a confirmé la défaillance de la sécurité mais n’a pas répondu à nos questions spécifiques, notamment si la société prévoyait d’informer les utilisateurs de la défaillance de la sécurité ou si elle prévoyait de divulguer l’incident aux régulateurs en vertu des lois nationales sur la notification des violations de données.

Infos WEB:  Une faille de l'outil d'archivage de KDE permet aux pirates de prendre le contrôle des comptes Linux

Le tableau de bord contenait les journaux quotidiens du serveur datant de février, et incluait l’adresse e-mail ou le numéro de téléphone enregistrés de l’utilisateur, le contenu des publications et des messages privés entre les utilisateurs, et la dernière géolocalisation connue de l’utilisateur, qui pouvait identifier où se trouvait ou avait été un utilisateur. Le tableau de bord a également exposé les contacts électroniques et téléphoniques téléchargés par l’utilisateur, que True utilise pour correspondre avec des amis connus dans l’application.

Aucune des données n’a été chiffrée.

TechCrunch a confirmé que le tableau de bord renvoyait des données utilisateur réelles en créant un compte de test et en demandant à Hussein de fournir des données que nous seuls saurions, telles que le numéro de téléphone utilisé pour enregistrer le compte.

Hussein a déclaré que le tableau de bord fuyait également …

Voir la source de cette publication