En 2013, Robin McGraw, épouse de la personnalité de la télévision américaine, le Dr Phil, a lancé une application pour aider les victimes de violence domestique à signaler secrètement leur détresse. Il a été rapidement annoncé comme une bouée de sauvetage potentielle pour les personnes en danger.

Aspire News, qui revendique plus de 300 000 téléchargements, est déguisé pour ressembler à une application de lecture de nouvelles inoffensive que les victimes de violence domestique peuvent utiliser pour avertir leurs amis et leur famille des abus ou du danger. Lorsqu’une victime appuie trois fois sur la barre supérieure de l’application, l’application peut alerter les contacts de confiance avec un message pré-écrit, une note vocale préenregistrée et l’emplacement précis de la victime par SMS pour indiquer qu’elle a besoin d’aide ou est en danger.

Mais une défaillance de sécurité signifiait que ces enregistrements vocaux téléchargés étaient laissés exposés sur un serveur cloud non protégé auquel tout le monde pouvait accéder.

Les chercheurs en sécurité Noam Rotem et Ran Locar ont trouvé les enregistrements exposés et signalé l’incident. La base de données a été mise hors ligne peu de temps après. Rotem et Locar ont partagé leurs résultats exclusivement avec TechCrunch.

Le serveur cloud contenait plus de 4 000 enregistrements, datant de septembre 2017. Les enregistrements variaient en longueur et en nature, mais certains contenaient des informations personnellement identifiables, telles que leur nom, leur adresse et leur numéro de téléphone, informations qui pouvaient être relayées aux services d’urgence.

Au moins un enregistrement que nous avons écouté a indiqué explicitement le nom de l’agresseur de la victime.

Étant donné la sensibilité des données, nous n’avons pas contacté les utilisateurs de l’application de peur que cela compromette leur sécurité.

Au lieu de cela, nous avons confirmé que les données appartenaient à Aspire en téléchargeant l’application et en enregistrant un court extrait de voix dans l’application. Lorsque nous avons déclenché l’alerte, nous avons reçu un message texte avec une adresse Web pour le fichier d’enregistrement stocké sur le serveur cloud. Cela signifie que toute personne ayant reçu un lien similaire vers un fichier d’enregistrement aurait pu facilement trouver d’autres enregistrements simplement en raccourcissant le lien complet.

Nous avons demandé à la fondation dirigée par les McGraw, When Georgia Smiled, combien de temps le …