Une nouvelle application appelée Neon a récemment connu une montée virale au sommet des tableaux d'App Store d'Apple. Son modèle commercial était simple: il a proposé de payer les utilisateurs pour leurs enregistrements d'appels téléphoniques, dans le but indiqué de vendre ces données aux sociétés d'IA pour aider à former leurs modèles. Mais le moment de l'application sous les projecteurs a été brusquement interrompu par un sérieux incident de sécurité. Si vous étiez l'un des utilisateurs d'iPhone qui ont accepté les conditions de l'application Neon, vos données peuvent avoir été exposées.
Les enregistrements d'appels exposés de la sécurité de l'application Iphone Neon Iphone, et plus encore
L'application a déjà été retirée des listes d'App Store. Le principal problème au cœur de la fermeture de l'application était un défaut de sécurité essentiel. Cette vulnérabilité a permis à tout utilisateur connecté d'accéder aux données privées sensibles des autres utilisateurs. Le problème n'était pas le résultat d'un piratage d'une partie extérieure. C'était en fait un défaut fondamental dans la configuration du serveur de l'application. Ils n'ont tout simplement pas réussi à authentifier correctement les demandes d'utilisateurs. Cela signifie que toute personne ayant un peu de connaissances techniques pourrait facilement obtenir des informations appartenant à quelqu'un d'autre.
La vulnérabilité a exposé un large éventail d'informations sensibles. Des experts de TechCrunch qui ont enquêté sur le défaut ont constaté qu'ils pouvaient accéder au numéro de téléphone d'un utilisateur, le numéro de téléphone de la personne qu'ils ont appelée, et même les enregistrements audio complets et les transcriptions détaillées de ces conversations. Les données étaient accessibles via des liens Web accessibles au public. L'enquête a également révélé des dossiers d'appels ou des métadonnées. Cela comprenait l'heure et la durée de chaque appel, par exemple. La découverte a mis en évidence une réalité troublante: certains utilisateurs semblaient faire des appels longs et secrètes spécifiquement pour générer de l'argent à partir du système de paiement de l'application.
La société évite de mentionner la fuite de données dans sa déclaration officielle
Après avoir été informé de la déchéance de sécurité, le fondateur de l'application a mis les serveurs hors ligne. Dans un message envoyé aux utilisateurs, la société a cité le besoin de «Ajouter des couches supplémentaires de sécurité«Pendant une période de croissance rapide. Le message ne mentionne cependant pas le défaut de sécurité ni le fait que les données personnelles des utilisateurs ont été exposées. Cette réponse soulève des questions importantes sur la transparence et la responsabilité des entreprises qui gèrent les informations sensibles.
L'incident sert de récit édifiant sur les risques de nouvelles applications qui gèrent de grandes quantités de données personnelles. Bien que le modèle commercial ait été innovant, la vulnérabilité de sécurité était une surveillance majeure. Il soulève également des questions plus larges pour les principaux magasins d'applications comme Apple et Google, car les applications avec de sérieux défauts de sécurité peuvent toujours faire leur chemin sur leurs plateformes. L'avenir du néon est désormais incertain, laissant les utilisateurs se demander si leurs données sont vraiment sûres.
