Lorsque vous téléchargez et commencez à utiliser une nouvelle application, le plus souvent, vous devrez peut-être créer un compte. Cela implique de transmettre des informations telles que votre nom, votre date de naissance, votre pays, votre adresse e-mail, etc. Malheureusement, il semble que, selon les chercheurs en sécurité, plusieurs applications sur le Play Store révèlent les données personnelles de leurs utilisateurs.
Les applications du Play Store révèlent les données personnelles des utilisateurs
Le coupable de cette exposition est IDMerit, une société de vérification d’identité basée en Californie. De nombreuses applications s’appuient sur des services comme IDMerit pour vérifier que leurs utilisateurs sont bien ceux qu’ils prétendent être. C’est une pratique assez courante, notamment dans les applications bancaires et fintech. Ainsi, lorsque IDMerit a laissé sa base de données largement ouverte sur Internet sans mot de passe pour la protéger, les données personnelles de personnes réparties dans 26 pays étaient accessibles à tous.
Selon les chercheurs en sécurité, la base de données mesurait près d’un téraoctet et contenait près d’un milliard d’enregistrements sensibles. Les données exposées comprenaient les noms complets, les dates de naissance, les adresses personnelles, les numéros de téléphone, les adresses e-mail, les numéros d’identité nationaux et même les métadonnées des télécommunications. Les États-Unis ont été les plus durement touchés, avec plus de 203 millions de documents exposés. Le Mexique arrive en deuxième position avec 124 millions, suivi des Philippines avec 72 millions.
Il convient de souligner qu’il ne s’agit pas d’un piratage et que IDMerit n’a pas été piraté. Au contraire, la base de données est restée accessible à quiconque savait où chercher. Les chercheurs ont contacté IDMerit, qui a sécurisé la base de données le lendemain.
Qu’est-ce que cela signifie pour vous
La bonne nouvelle est qu’il n’existe actuellement aucune preuve d’activité malveillante liée aux données exposées. Mais ce n’est pas une raison pour se détendre. Les robots d’exploration automatisés créés par des acteurs malveillants analysent constamment le Web à la recherche de ce type de bases de données exposées. Si des chercheurs en sécurité l’ont trouvé, il y a une chance que d’autres l’aient fait aussi.
De plus, ce type de données peut être utilisé dans le cadre d’un vol d’identité. Nous parlons de pièces d’identité nationales combinées à des adresses personnelles, des numéros de téléphone et des dates de naissance. De quoi ouvrir des comptes frauduleux, demander un crédit ou encore procéder à un échange de carte SIM.
Alors, que pouvez-vous faire à ce sujet ? Malheureusement, pas grand-chose. Comme nous l’avons dit, le KYC dans les applications est monnaie courante, nous ne pouvons donc qu’espérer que les entreprises prendront notre vie privée au sérieux et sécuriseront correctement leurs bases de données.
