QuizUp est une application qui impose une connexion par Email ou via un compte Facebook et qui propose aux joueurs de se lancer des défis au cours de quiz de culture générale (en anglais uniquement à ce jour).
Le développeur Kyle Richter, a de ce fait publié une note intitulée " Notre responsabilité en tant que développeurs " qui met en lumière l'ensemble des failles, dont certaines peuvent amener à partager des informations personnelles de l'utilisateur, mais aussi de ses amis à des tiers.
La plus grosse faille se situerait ainsi dans la façon dont les informations sont transmises lors de la mise en relation entre les joueurs. Les noms complets, ID Facebook, adresses email, photos, genre, dates d'anniversaire et même données de localisation sont transmis en caractères complets via SSL. Une petite manipulation aurait ainsi permis à Kyle Richter de récupérer des informations personnelles de plusieurs centaines de joueurs qu'il ne connaissait pas.
Plain Vanilla Games, l'éditeur de l'application a été contacté par le développeur, mais n'a pas daigné accorder quelconque attention aux failles présentes dans son application. Un démenti a même été publié dans les tribunes de TechCrunch afin de rassurer les utilisateurs tout en concédant toutefois quelques erreurs qui devraient être réglées au cours d'une mise à jour prochainement déployée.
L'affaire prouve ainsi les limites du processus de simplification des identifications liées aux comptes globaux d'emails ou de Facebook. Si ces systèmes permettent aux développeurs de toucher davantage d'utilisateurs et de simplifier les processus de création de comptes, elle nécessite également un gros travail de sécurisation des données afin justement de ne pas compromettre l'intégralité des données personnelles. De quoi donner à réfléchir une nouvelle fois (s'il le fallait encore)lorsqu'une application vous demandera de vous identifier avec les accès de votre compte email...
