Comment mâcher le travail aux pirates qui voudraient hacker vos données ? Oublier de protéger votre base avec un mot de passe. C’est ce qui est arrivé à l’éditeur de l’application de clavier virtuel pour smartphone sous Android et iOS, AI.type. Une de ses bases de données contenant les informations personnelles de près de 31 millions d’utilisateurs a été diffusée en ligne après une négligence dans la sécurité. Elle a été découverte par des chercheurs du Security Research Center du logiciel OS X, MacKeeper.
En tout 577 Go d’informations personnelles ont fuité. Les données vont des numéros de l’utilisateur, IMEI ou informations de géolocalisation à des contenus plus personnels comme les données de contact du répertoire des utilisateurs. Les numéros de téléphone et adresses emails des contacts étaient listés dans la base qui a fuitée. ZDNet.com a dénombré, après avoir accédé à une partie des données, plus de 10,7 millions d’adresses mails et 364 millions de numéros de téléphone.
Une base de données secondaire pointée du doigt
Pire, l’application collectait vraisemblablement une partie des textes entrés à l’aide du clavier par les utilisateurs. Parmi les neuf millions d’entrées archivées, des mots de passe et leurs adresses mails liées ont été relevées par le site d’information.
La faille n’aurait affecté que les utilisateurs de la version Android de l’application. Eitan Fitusi, fondateur et responsable de AI.type, a tenté de minorer l’importance de la fuite en déclarant à la BBC qu’« il s’agissait d’une base de données secondaire ». Selon lui, les données de géolocalisation ne seraient pas précises et aucune donnée IMEI n’aurait été recueillie. La fuite a été colmatée et Eitan Fitusi s’est dit confiant de la sécurité de son entreprise.