Kid Security, une application de contrôle parental populaire avec des millions de téléchargements, s'est avérée divulguer des informations sensibles sur les enfants. L'application, disponible sur Android et iOS, expose les emplacements GPS, les messages privés, les adresses e-mail, les adresses IP, etc. Les données étaient accessibles à tous pendant plus d’un an, ont découvert les chercheurs en sécurité de Cybernews. La même équipe avait précédemment signalé une fuite de données de Kid Security en novembre 2023.
Des chercheurs en sécurité découvrent une autre fuite de données par Kid Security
Kid Security est une application mobile que les parents peuvent installer sur les téléphones de leurs enfants pour suivre leur emplacement, écouter leur environnement lorsqu'ils sont absents, limiter le temps d'écran, contrôler les interactions numériques, et bien plus encore. Développée par une société basée au Kazakhstan, elle fonctionne en tandem avec une autre application appelée « Tigrow ! donner aux parents un contrôle total sur ce que leurs enfants font sur leur téléphone.
Malheureusement, de mauvaises mesures de sécurité signifient que l’application a fait plus de mal que de bien à ses utilisateurs. Selon Cybernews, les développeurs de Kid Security « n'ont pas réussi à configurer l'authentification pour leur cluster Kafka Broker ». Cela a compromis les données sensibles collectées sur les téléphones des mineurs. Les données divulguées comprenaient des messages privés provenant de diverses applications de chat, notamment Instagram, WhatsApp, Telegram, Viber et Vkontakte.
La fuite a également révélé les adresses e-mail des parents, les adresses IP, les listes d'applications installées sur les téléphones et leurs statistiques d'utilisation, les enregistrements audio de l'environnement des mineurs, l'emplacement des appareils, les numéros IMEI et d'autres formes de données. Le pire, c’est que n’importe qui, y compris les acteurs malveillants, pourrait accéder aux données. Et pas pour un jour ou une semaine, mais pour une année entière, ce qui représente un risque énorme pour la sécurité des parents et des mineurs.
Les informations telles que les adresses e-mail, les messages sur les réseaux sociaux, les numéros IMEI et les emplacements GPS sont plus que suffisantes pour identifier un utilisateur. Certaines discussions de groupe divulguées comportaient des noms d'écoles et des désignations de classes spécifiques dans le titre, permettant ainsi à un acteur menaçant de cibler un individu. Ils pourraient également utiliser la fonction Sound Around pour écouter et enregistrer l'environnement d'un enfant à leur insu.
La fuite a également touché les enfants qui n'utilisent pas cette application
Cette fuite de données a également touché les enfants sur lesquels Kid Security n’est pas installé sur leur téléphone. Leurs messages envoyés aux enfants avec cette application ont été dévoilés. Cela comprenait des discussions de groupe avec les détails susmentionnés. La fuite a principalement touché des personnes vivant dans la Fédération de Russie, en Europe de l’Est et au Moyen-Orient, bien qu’un nombre important de personnes provenant d’autres régions utilisent également l’application.
Cybernews a découvert cette fuite en février 2024. Le cluster est ouvert depuis janvier 2023. Sur cette période, il avait exposé plus de 100 Go d'informations. Les chercheurs ont observé le cluster pendant plus d’une heure et ont reçu 456 000 messages privés et statistiques d’utilisation d’applications provenant de 11 000 téléphones. Cela représente un volume remarquablement élevé de données compromises en une heure. Les acteurs malveillants pourraient utiliser ces informations pour lancer des attaques plus dévastatrices.
La publication a contacté les développeurs de Kid Security après avoir découvert cette fuite. L’entreprise a ensuite sécurisé le cluster, mais les dégâts étaient déjà faits. Étant donné que la fuite n’a pas été corrigée pendant plus d’un an, les développeurs n’ont probablement pas surveillé activement le cluster. Une fuite précédente a également révélé des milliers de numéros de téléphone, d'adresses e-mail et de journaux d'activité des utilisateurs de l'application.
Si vous ou quelqu'un que vous connaissez utilisez Kid Security, il peut être plus sûr de le désinstaller et de passer à une autre application de contrôle parental. Vous devez également rester vigilant quant à la sécurité de votre enfant car la fuite aurait pu compromettre vos données.
