ai.type : inquiétante fuite de données pour le clavier intelligent sur mobile

Le par  |  7 commentaire(s)
fuite

La populaire application de clavier ai.type a laissé en libre service les données personnelles de 31 millions d'utilisateurs. Le fondateur de ai.type dément l'étendue des données exposées.

Existant dans une version gratuite et payante, l'application de clavier virtuel pour mobile ai.type se veut intelligente. Son développeur éponyme semble avoir fait une belle bourde avec une fuite de données accidentelle.

Une fois de plus, c'est une mauvaise configuration de MongoDB qui est en cause. Elle a permis aux chercheurs en sécurité de Kromtech Security Center de débusquer une base de données de 577 Go accessible sans mot de passe et sans chiffrement.

Ce genre de trouvaille n'est pas une première. Par ailleurs, Kromtech a aussi eu quelques soucis avec sa gestion de MongoDB par le passé. Pour le cas présent, c'était un libre accès aux données personnelles de plus de 31 millions d'utilisateurs. A priori, seuls les utilisateurs Android sont affectés.

ZDNet a été en mesure d'obtenir une partie de la base de données (qui a été sécurisée depuis). Il est question de noms d'utilisateurs, adresses mail, depuis combien de temps l'application a été installée ou encore de la localisation. Pour certains enregistrements, cela va plus loin.

Par exemple, des numéros IMSI et IMEI, des numéros de téléphone, adresses IP, sans compter des détails sur des profils Google publics. Dans certaines tables, il y avait également des données sur des contacts de l'appareil.

Ce n'est pourtant pas terminé avec parfois des informations saisies en utilisant le clavier alternatif. Des informations sensibles avec notamment des identifiants. Si jamais un cybercriminel est aussi tombé sur la base de données… il a de quoi fomenter quelques pièges.

Cette fuite de données fait en outre fortement s'interroger sur la grande latitude de collecte d'informations avec l'application gratuite.

À la BBC, Eitan Fitusi, le responsable et fondateur de ai.type, a minoré l'étendue de la quantité de données exposées. Il a évoqué une " base de données secondaire ", et a précisé que les données de localisation n'étaient pas exactes, qu'il n'y avait pas de numéros IMEI et que les données collectées sur le comportement de l'utilisateur ne concernaient que les clics sur les publicités.

Complément d'information

Vos commentaires

Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Le #1991372
Ca craint, concernant tous les claviers alternatifs dont on dispose (Swiftkey et autres ...)
Le #1991373
claviers alternatifs, fait alternatifs, mais conneries en continue par contre !
Le #1991374
Le problème n'est pas tant la fuite elle-même que l'existence de cet entrepôt de données pour commencer ! Pas de données, pas de fuite possible, tout simplement
Le #1991410
Putain KOMAN JSUI SOULAJER !

Je ne suis pas friand des personnalisations des claviers/téléphonie (Call truc bidule)/SMS etc... j'imagine que dans quelques semaines on apprendra des trucs aberrant comme quoi les alternatifs SMS sont pires que tout le reste (collecte des conversations, IMEI, numéros de téléphones, ID de paiement par opérateur etc...)

J'ai toujours sû que les alternatifs ne sont pas une solution...
Le #1991440
iFlo59 a écrit :

Putain KOMAN JSUI SOULAJER !

Je ne suis pas friand des personnalisations des claviers/téléphonie (Call truc bidule)/SMS etc... j'imagine que dans quelques semaines on apprendra des trucs aberrant comme quoi les alternatifs SMS sont pires que tout le reste (collecte des conversations, IMEI, numéros de téléphones, ID de paiement par opérateur etc...)

J'ai toujours sû que les alternatifs ne sont pas une solution...


Malheureusement les apps officielles non plus. Va demander à One ce qu'il en pense

En fait on navigue en plein brouillard, quelle que soit la technologie utilisée.
Le #1991652
depuis quand un clavier va entreposer des données qui me semble n'est qu'un périphérique virtuel. Wow.

Le #1991873
dan4 a écrit :

depuis quand un clavier va entreposer des données qui me semble n'est qu'un périphérique virtuel. Wow.


C'est aussi une application, et elle fait ce qu'elle veut. Pratique pour les mises à jour, les prédictions, etc .. moins pour la confidentialité
Suivre les commentaires
Poster un commentaire
Anonyme
:) ;) :D ^^ 8) :| :lol: :p :-/ :o :w00t: :roll: :( :cry: :facepalm:
:andy: :annoyed: :bandit: :alien: :ninja: :agent: :doh: :@ :sick: :kiss: :love: :sleep: :whistle: =]