IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

  1. #1
    Chroniqueur Actualités

    Homme Profil pro
    Administrateur de base de données
    Inscrit en
    Mars 2013
    Messages
    9 092
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Canada

    Informations professionnelles :
    Activité : Administrateur de base de données

    Informations forums :
    Inscription : Mars 2013
    Messages : 9 092
    Points : 209 788
    Points
    209 788
    Par défaut Des apps de rencontre ont laissé 845 Go de données accessibles en public parmi lesquellesdes photos explicites
    Des apps de rencontre ont laissé 845 Go de données accessibles au public parmi lesquelles des photos explicites,
    des captures d'écran de conversations, des noms et autres

    Il n’est pas rare d’apprendre que les données d’une entreprise ou de ses clients ont été exposées en ligne. Mais ce n’est pas parce que cela arrive souvent que cela rend la situation moins dramatique, en particulier lorsque ces données proviennent d'une multitude d'applications de rencontres qui s'adressent à des groupes et des intérêts spécifiques.

    Les chercheurs en sécurité Noam Rotem et Ran Locar ont découvert une collection de buckets Amazon S3, le service de stockage principal d’Amazon Web Services, accessibles au public. Chacun contenait une mine de données provenant de différentes applications de rencontres spécialisées parmi lesquelles 3somes, Cougary, Gay Daddy Bear, Xpal, BBW Dating, Casualx, SugarD, Herpes Dating et GHunt. Au total, les chercheurs ont trouvé 845 gigaoctets et près de 2,5 millions d'enregistrements, représentant probablement des données de centaines de milliers d'utilisateurs.

    Les informations étaient particulièrement sensibles et comprenaient des photos et des enregistrements audio sexuellement explicites. Les chercheurs ont également trouvé des captures d'écran de chats privés d'autres plateformes et des reçus de paiements, envoyés entre les utilisateurs de l'application dans le cadre des relations qu'ils établissaient. Et bien que les données exposées comprenaient des PII (informations d'identification personnelle) limitées, comme les vrais noms, les dates d’anniversaire ou les adresses e-mail, les chercheurs précisent qu'un hacker motivé aurait pu utiliser les photos et autres informations diverses disponibles pour identifier de nombreux utilisateurs.

    Les chercheurs ont fait cette découverte le 24 mai. Lorsqu’ils ont tracé les buckets exposés, ils ont réalisé que toutes les applications semblaient provenir de la même source. Leur infrastructure était assez uniforme, les sites Web des applications avaient tous la même mise en page et de nombreuses applications répertoriaient "Cheng Du New Tech Zone" en tant que développeur sur Google Play. Le 26 mai, deux jours après la découverte initiale, les chercheurs ont contacté 3some. Le lendemain, ils ont reçu une brève réponse et tous les buckets ont été verrouillés simultanément :

    « Parfois, l'étendue d'une violation de données et le propriétaire des données sont évidents, et le problème est rapidement résolu. Mais rares sont ces cas de figure. Le plus souvent, nous avons besoin de plusieurs jours d'enquête avant de comprendre ce qui est en jeu ou d’où provienent les données.

    « Comprendre une brèche et son impact potentiel nécessite une attention et un temps minutieux. Nous travaillons dur pour publier des rapports précis et fiables, garantissant que tous ceux qui les lisent comprennent leur sérieux.

    « Certaines parties concernées nient les faits, ignorant nos recherches ou minimisant son impact. Nous devons donc être minutieux et nous assurer que tout ce que nous trouvons est correct et précis.

    « Dans ce cas, les fichiers de chaque application ont été stockés sur un fichier AWS S3 mal configuré, dans un seul compte AWS partagé. Les buckets S3 ont été nommés d'après l'application de rencontres dont ils sont issus. Au départ, nous n'avons contacté qu'une seule entité – 3somes - pour présenter nos résultats.

    « 3somes a rapidement répondu, demandant des détails supplémentaires. Nous avons répondu en fournissant l'URL de leur compartiment mal configuré et avons mentionné que d'autres buckets appartenant à leurs sociétés sœurs apparentes étaient également accessibles au public (sans préciser lesquelles).

    « Bien que nous n'ayons reçu aucune autre communication, le même jour, tous les buckets appartenant à toutes les autres applications ont également été sécurisés, confirmant notre hypothèse sur le développeur commun ».

    Nom : data.png
Affichages : 32728
Taille : 74,6 Ko

    L’impact potentiel d’une utilisation de ce genre de données

    Bien que les données des applications de rencontres soient toujours sensibles et privées, les utilisateurs des applications exposées dans cette violation de données seraient particulièrement vulnérables à diverses formes d'attaques, d'intimidation et d'extorsion.

    Le phénomène du « sugar dating » (sur Internet essentiellement avec sugar boy – gigolo -, sugar daddy ou sugar mommy) est la plupart du temps assimilé à de la prostitution, si bien que les sites qui en font commerce ont été attaqués en justice. Aux États-Unis comme en France, la justice n'a pas trouvé le moyen d'inculper l'un de ces sites, ceux-ci se défendant en disant qu'ils ne font que mettre en relation des personnes d'intérêts complémentaires. Cependant, des hackers pourraient exploiter ce genre de données contre les utilisateurs avec un effet dévastateur.

    En utilisant les images de diverses applications, les hackers pourraient créer de faux profils efficaces pour créer de faux profils en ligne, faire des fraudes ou abuser des utilisateurs imprudents.

    Nom : sugar.png
Affichages : 5456
Taille : 59,1 Ko

    Toutes les données PII exposées créent des risques beaucoup plus importants pour les utilisateurs. Étant donné la nature de bon nombre de ces applications - dans certains cas, impliquant des transactions financières, des fétiches et des IST - avoir votre présence sur l'application rendue publique pourrait créer un stress énorme dans votre vie personnelle.

    Conscients de cela, les hackers pourraient utiliser des images contenant des informations personnelles pour trouver des utilisateurs sur les réseaux sociaux et menacer de « dévoiler » leurs activités en public, à leurs amis et à leur famille. Malheureusement, ce type de chantage et d'extorsion pourrait s'avérer incroyablement rentable.

    Avec autant d'utilisateurs de chaque application exposés à la violation de données, les criminels n'auraient qu'à convaincre un petit nombre de personnes de les payer pour qu'un programme de chantage et d'extorsion réussisse.

    Ce faisant, ils pourraient détruire les relations et la vie personnelle et professionnelle de nombreuses personnes.

    Il faut tout de même préciser qu’il ne s’agit pas d’un piratage ici, mais simplement de données mal conservées. Les chercheurs ne savent pas si quelqu'un d'autre a découvert ces données avant eux. C'est bien là le nœud du problème avec les expositions de données : rendre les données accessibles par erreur est au mieux une erreur sans conséquence, mais au pire, les hackers peuvent s’en servir pour se faire un maximum d’argent. Et dans le contexte des applications de rencontres en particulier, les informations pourraient avoir un réel impact sur la sécurité des utilisateurs si elles étaient volées avant que le développeur ne les protège. De nombreuses violations contiennent des données comme les adresses e-mail et les mots de passe, ce qui est déjà assez mauvais. Mais lorsque des données fuitent de sites comme Ashley Madison, Grindr ou Cam4, cela est susceptible d’engendrer le doxing, l'extorsion et d'autres abus en ligne graves. Dans ce cas, Herpes Dating pourrait même potentiellement révéler l'état de santé d'une personne.

    « Quelle confiance accordons-nous aux applications pour nous sentir suffisamment à l'aise et leur confier ces données sensibles – les informations sur les MST, des vidéos explicites », a demandé Nina Alli, directrice exécutive du Biohacking Village at Defcon et chercheuse en sécurité biomédicale. « C'est une façon néfaste de révéler le statut de santé sexuelle de quelqu'un. Ce n'est pas quelque chose dont il faut avoir honte, mais il y a de forts risques de stigmatisation. »

    Source : rapport

    Voir aussi :

    Facebook reporte le déploiement de son service de rencontres (Facebook Dating) dans l'UE qui lui demande des gages de protection de la vie privée via le régulateur irlandais
    Assiste-t-on à l'évolution des IA conversationnelles dans l'industrie des rencontres en ligne ? Fatigué d'écrire les banalités d'usage, un ingénieur s'appuie sur une IA et obtient des rendez-vous
    Les applications de rencontres ont besoin de femmes. Les annonceurs ont besoin de diversité. Les entreprises d'IA proposent une solution : des visages générés par ordinateur

  2. #2
    Membre extrêmement actif
    Avatar de Ryu2000
    Homme Profil pro
    Étudiant
    Inscrit en
    Décembre 2008
    Messages
    9 968
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 36
    Localisation : France, Hérault (Languedoc Roussillon)

    Informations professionnelles :
    Activité : Étudiant

    Informations forums :
    Inscription : Décembre 2008
    Messages : 9 968
    Points : 18 963
    Points
    18 963
    Par défaut
    Citation Envoyé par Stéphane le calme Voir le message
    Les chercheurs en sécurité Noam Rotem et Ran Locar ont découvert une collection de buckets Amazon S3, le service de stockage principal d’Amazon Web Services, accessibles au public. Chacun contenait une mine de données provenant de différentes applications de rencontres spécialisées parmi lesquelles 3somes, Cougary, Gay Daddy Bear, Xpal, BBW Dating, Casualx, SugarD, Herpes Dating et GHunt. Au total, les chercheurs ont trouvé 845 gigaoctets et près de 2,5 millions d'enregistrements, représentant probablement des données de centaines de milliers d'utilisateurs.
    Purée il existe des applications vraiment spécifique.

  3. #3
    Membre régulier Avatar de TaoSc
    Homme Profil pro
    Étudiant
    Inscrit en
    Mai 2016
    Messages
    6
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Hauts de Seine (Île de France)

    Informations professionnelles :
    Activité : Étudiant

    Informations forums :
    Inscription : Mai 2016
    Messages : 6
    Points : 93
    Points
    93
    Par défaut
    Citation Envoyé par Ryu2000 Voir le message
    Purée il existe des applications vraiment spécifique.
    Le Herpes Dating remporte la palme pour moi ahah

Discussions similaires

  1. Réponses: 1
    Dernier message: 10/09/2018, 09h38
  2. Réponses: 0
    Dernier message: 05/09/2018, 19h26
  3. Réponses: 2
    Dernier message: 27/07/2018, 16h19
  4. Réponses: 4
    Dernier message: 08/06/2006, 14h18
  5. la liste des clients qui n'ont pas acheter aucun article ...
    Par TéBeSsI dans le forum Langage SQL
    Réponses: 6
    Dernier message: 13/02/2004, 15h57

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo