Une application de partouze laisse fuiter les données personnelles et les photos de ses utilisateurs
Y compris ceux de la Maison-Blanche et de la Cour suprême
Le 2019-08-09 09:37:19, par Bill Fassinou, Chroniqueur Actualités
Les applications de rencontre sont devenues aujourd’hui très nombreuses, pour ne pas dire qu’elles ont proliféré ces dernières années. Mais selon Pen Test Partners, ces applications présentent un risque d’insécurité très élevé. Il a annoncé cette semaine avoir constaté une assez mauvaise sécurité dans les applications de rencontres au cours des dernières années, notamment, des violations de données personnelles, des fuites de données d'utilisateurs et plus encore. Il présente le cas particulier de 3Fun qui, selon lui, présente énormément de défauts et est probablement la pire sécurité pour toute application de rencontres qu’il ait jamais vue.
Comme présenté par ses développeurs au sein des différents magasins d’applications d’Apple et de Google, 3Fun est une application très populaire utilisée pour rencontrer des célibataires et des couples locaux ouverts d'esprit. Dans sa description, l’équipe de 3Fun a mis l’accent sur la protection de la vie et la confidentialité des données de ses utilisateurs. « Vie privée protégée : Vous pouvez simplement télécharger une photo dans votre album », a-t-elle écrit. Mais selon les analyses de Pen Test Partners, un cabinet de cybersécurité, aucune mesure de sécurité n’est garantie.
Selon les investigations de Pen Test Partners (PTP), 3Fun expose l'emplacement en temps réel de tout utilisateur qu’il soit au travail, à la maison, en déplacement, en bref partout. Il expose les dates de naissance, les préférences sexuelles et les données de discussion des utilisateurs. Il expose aussi les images privées des utilisateurs, même si la confidentialité est définie. D’après PTP, plusieurs applications de rencontres, y compris Grindr, ont déjà eu des problèmes de divulgation de la localisation de l'utilisateur, via ce que l'on appelle la « trilatération ». Cela offre de nombreuses possibilités de pistage de l’utilisateur.
Cette faille permet à un attaquant de profiter de la fonctionnalité « distance de moi » dans une application et de la tromper. En usurpant votre position GPS et en regardant les distances de l'utilisateur, l’on peut obtenir de façon exacte votre position. Mais, d’après Pen Test Partners, 3Fun est différent. Le cabinet de cybersécurité a déclaré que l’application ne fait que « divulguer » votre position via les requêtes qu'elle reçoit. C'est un ordre de grandeur moins sécurisé. Vous pouvez découvrir un exemple test de cette divulgation dans une démo présentée par Pen Test Partners sur son site Web.
Dans la façon dont 3Fun partage votre position en temps réel, la latitude et la longitude de l'utilisateur sont divulguées. Par conséquent, il n’y a pas besoin d’utiliser la trilatération. L’utilisateur peut toutefois essayer de limiter l’envoi de sa latitude et de sa longitude pour ne pas dévoiler sa position. Mais selon le cabinet, ces données ne sont filtrées que dans l’application mobile elle-même, mais pas sur le serveur. Il est simplement masqué dans l'interface de l'application mobile si l'indicateur de confidentialité est défini. Le filtrage étant du côté client, l'API peut toujours être interrogée pour les données de position.
Pen Test Partners a pu récupérer la position exacte de nombreuses personnes qui utilisent 3Fun au Royaume-Uni et Washington DC. Il en a même trouvé un qui travaille à la Maison-Blanche, un situé à Downing Street à Londres et plus précisément encore, il en a trouvé un dans les bureaux de la Cour Suprême des États-Unis. De plus, dans une portion de code partagée par Pen Test Partners, l’on note la divulgation de plusieurs types d’informations dont la date d’anniversaire d’un utilisateur. En gros, il s’agit de données qui peuvent permettre de connaître l’identité réelle d’un utilisateur de l'application 3Fun. Ces données peuvent être utilisées pour traquer les utilisateurs en temps réel, exposer leurs activités privées ou pire encore.
Ensuite, c'est devenu vraiment inquiétant. Les photos privées sont également exposées, même lorsque les paramètres de confidentialité sont en place. Les URI sont divulgués dans les réponses de l’API. Pen Test Partners a réussi à extraire l’image d’un utilisateur. Selon Pen Test Partners, il existe de nombreuses autres vulnérabilités, basées sur le code de l'application mobile et de l'API, mais le cabinet ne peut pas les vérifier.
Un effet secondaire était que le cabinet pouvait interroger le sexe de l'utilisateur et calculer le rapport (par exemple) entre hommes hétérosexuels et femmes hétérosexuelles. Sur le coup, Pen Test Partners a indiqué qu’il a contacté 3Fun au sujet des vulnérabilités le 1er juillet et leur a demandé de corriger ces failles de sécurité, car les données personnelles étaient exposées. Ainsi, 3Fun est intervenu assez rapidement et a résolu le problème, mais selon le cabinet, il est vraiment dommage que tant de données très personnelles aient été exposées pendant si longtemps.
« Les problèmes de trilatération et d'exposition des utilisateurs avec grindr et d'autres applications sont mauvais. C'est bien pire. Il est facile de suivre les utilisateurs en temps réel, en découvrant des informations et des photos très personnelles », a conclu Pen Test Partners. Notez que dans les démonstrations de Pen Test Partners, une simple requête GET non sécurisée renvoie des données sensibles et privées.
Source : Pen Test Partners
Et vous ?
Qu'en pensez-vous ?
Voir aussi
NY : un projet de loi veut obliger les entreprises à divulguer leur utilisation des données personnelles aux particuliers qui en font la demande
Confidentialité : l'API Grindr continue d'exposer l'emplacement de ses utilisateurs, ainsi que d'autres informations de profil y compris le statut VIH
Le NYT porte plainte contre la FCC, car elle refuse de divulguer des données, confirmant l'ingérence russe dans l'abrogation de la neutralité du Net
Comme présenté par ses développeurs au sein des différents magasins d’applications d’Apple et de Google, 3Fun est une application très populaire utilisée pour rencontrer des célibataires et des couples locaux ouverts d'esprit. Dans sa description, l’équipe de 3Fun a mis l’accent sur la protection de la vie et la confidentialité des données de ses utilisateurs. « Vie privée protégée : Vous pouvez simplement télécharger une photo dans votre album », a-t-elle écrit. Mais selon les analyses de Pen Test Partners, un cabinet de cybersécurité, aucune mesure de sécurité n’est garantie.
Selon les investigations de Pen Test Partners (PTP), 3Fun expose l'emplacement en temps réel de tout utilisateur qu’il soit au travail, à la maison, en déplacement, en bref partout. Il expose les dates de naissance, les préférences sexuelles et les données de discussion des utilisateurs. Il expose aussi les images privées des utilisateurs, même si la confidentialité est définie. D’après PTP, plusieurs applications de rencontres, y compris Grindr, ont déjà eu des problèmes de divulgation de la localisation de l'utilisateur, via ce que l'on appelle la « trilatération ». Cela offre de nombreuses possibilités de pistage de l’utilisateur.
Cette faille permet à un attaquant de profiter de la fonctionnalité « distance de moi » dans une application et de la tromper. En usurpant votre position GPS et en regardant les distances de l'utilisateur, l’on peut obtenir de façon exacte votre position. Mais, d’après Pen Test Partners, 3Fun est différent. Le cabinet de cybersécurité a déclaré que l’application ne fait que « divulguer » votre position via les requêtes qu'elle reçoit. C'est un ordre de grandeur moins sécurisé. Vous pouvez découvrir un exemple test de cette divulgation dans une démo présentée par Pen Test Partners sur son site Web.
Dans la façon dont 3Fun partage votre position en temps réel, la latitude et la longitude de l'utilisateur sont divulguées. Par conséquent, il n’y a pas besoin d’utiliser la trilatération. L’utilisateur peut toutefois essayer de limiter l’envoi de sa latitude et de sa longitude pour ne pas dévoiler sa position. Mais selon le cabinet, ces données ne sont filtrées que dans l’application mobile elle-même, mais pas sur le serveur. Il est simplement masqué dans l'interface de l'application mobile si l'indicateur de confidentialité est défini. Le filtrage étant du côté client, l'API peut toujours être interrogée pour les données de position.
Pen Test Partners a pu récupérer la position exacte de nombreuses personnes qui utilisent 3Fun au Royaume-Uni et Washington DC. Il en a même trouvé un qui travaille à la Maison-Blanche, un situé à Downing Street à Londres et plus précisément encore, il en a trouvé un dans les bureaux de la Cour Suprême des États-Unis. De plus, dans une portion de code partagée par Pen Test Partners, l’on note la divulgation de plusieurs types d’informations dont la date d’anniversaire d’un utilisateur. En gros, il s’agit de données qui peuvent permettre de connaître l’identité réelle d’un utilisateur de l'application 3Fun. Ces données peuvent être utilisées pour traquer les utilisateurs en temps réel, exposer leurs activités privées ou pire encore.
Ensuite, c'est devenu vraiment inquiétant. Les photos privées sont également exposées, même lorsque les paramètres de confidentialité sont en place. Les URI sont divulgués dans les réponses de l’API. Pen Test Partners a réussi à extraire l’image d’un utilisateur. Selon Pen Test Partners, il existe de nombreuses autres vulnérabilités, basées sur le code de l'application mobile et de l'API, mais le cabinet ne peut pas les vérifier.
Un effet secondaire était que le cabinet pouvait interroger le sexe de l'utilisateur et calculer le rapport (par exemple) entre hommes hétérosexuels et femmes hétérosexuelles. Sur le coup, Pen Test Partners a indiqué qu’il a contacté 3Fun au sujet des vulnérabilités le 1er juillet et leur a demandé de corriger ces failles de sécurité, car les données personnelles étaient exposées. Ainsi, 3Fun est intervenu assez rapidement et a résolu le problème, mais selon le cabinet, il est vraiment dommage que tant de données très personnelles aient été exposées pendant si longtemps.
« Les problèmes de trilatération et d'exposition des utilisateurs avec grindr et d'autres applications sont mauvais. C'est bien pire. Il est facile de suivre les utilisateurs en temps réel, en découvrant des informations et des photos très personnelles », a conclu Pen Test Partners. Notez que dans les démonstrations de Pen Test Partners, une simple requête GET non sécurisée renvoie des données sensibles et privées.
Source : Pen Test Partners
Et vous ?
Voir aussi
-
pierre-yMembre chevronnéUn application pour faire des partouze^^. Quelque part ça mériterait un oscar, on a fait des films avec moins que ça.le 09/08/2019 à 21:23
-
Nita65Membre du ClubOn parle de milieu social, là.. pas forcément de niveau d'études... c'est curieux, tu passes beaucoup de temps à le démontrer, tout en continuant à faire la confusion. Le milieu social, c'est un mélange de beaucoup de choses - vision du monde, bagage culturel, culture générale, sentiment d'appartenance, etc... qui n'ont rien à voir avec le niveau d'études ! Je dirais que le niveau d'études découle du milieu social, plus que du contraire, car dans certains milieux on DOIT faire des études supérieures, qu'on le veuille ou non, et dans d'autres au contraire il faut se battre contre tout un tas de préjugés pour arriver à faire des études supérieures (préjugés anti-intellos, anti-système, anti-école, anti-élite, etc.)
C'est amusant aussi, quand tu parles des "bourgeois", tu sembles leur coller pas mal de préjugés archi-négatifs, confortant la théorie d'entre-soi des milieux sociaux, que tu dénonces par ailleurs ?
Et enfin, les fantasmes sexuels n'ont pas grand-chose à voir là-dedans, on parle de couple, là, pas de baise ! On a sûrement toutes rêvé un jour ou l'autre de séduire un grand fort musclé avec un blouson noir et des tatouages, mais pas forcément de l'épouser. Quant à la soumission, c'est vraiment je pense une question de penchant individuel pour tel ou tel type de sexualité, qui na rien, mais alors rien à voir avec le milieu social. Par contre, selon ledit milieu social on luttera plus ou moins pour ou contre ledit penchant. Mais dire qu'un "gars de banlieue ne peut pas être un soumis sexuel ?" ... merci pour le fou rire :-)
Et l'mour dans tout ça...? Bah il est peut-être irrationnel, je ne sais pas, faut demander au Bon Dieu, c'est son domaine, ça, l'Amour... mais je ne pense pas me tromper en disant qu'on n'épouse pas forcément celui ou celle qu'on aime - et vice-versa. Justement parce que la pression sociale est très, très forte.le 14/08/2019 à 14:42 -
PomalaixRédacteurIl est à espérer que celles comportant moins de 2 partenaires sexuels soient également légales, sans quoi on va retrouver un paquet d'adolescents et de célibataires en taule !le 12/08/2019 à 18:05
-
Comment s'insurger contre un système et l'alimenter de clichés dans un même message. Fantastique !
Interdit par un paquet de religions et ça doit bien l'être encore dans certains états des États-Unis...
Cela dit, 80% des adultes s'adonnent à des plaisirs solitaires alors c'est loin de se limiter aux ados et taulardsle 13/08/2019 à 18:29 -
JipétéExpert éminent sénior
Envoyé par url
Où il y avait plus de "filles" (le terme pudique pour prostituées [au sens très large, pas uniquement celles qui font ça h 24 7/7 mais aussi toutes celles qui ont besoin d'arrondir leurs fins de mois]) que de femmes honnêtes, étant entendu qu'une femme honnête était celleEnvoyé par Nana, chap. 1 Envoyé par url
selon l’avocat de l’EACP qui attend par ailleurs que l’hébergeur de ces sites soit responsabilisé.
ou
selon l’avocat de l’EACP qui attend par ailleurs de l’hébergeur que ces sites soient responsabilisés.Envoyé par url
Lire La maison Tellier de Maupassant, où la bourgeoisie locale (du bled où ça se passe) se retrouve le soir au… bordel, hé oui !le 14/08/2019 à 7:54 -
Nita65Membre du ClubC'est aussi la conséquence de facteurs pragmatiques bien réels. Pour l'avoir vécu plusieurs fois, je peux citer par exemple :
- Les moyens financiers. Si l'une des deux parties dans le couple a beaucoup plus de moyens que l'autre, soit il y en a un qui "subventionne" l'autre pour sorties, vacances, logement, etc... , soit les deux s'alignent sur le moins-gagnant. Ca peut être frustrant à la longue, de toujours partir en vacances au Camping des Flots-Bleus alors qu'on voudrait visiter Venise - et qu'on pourrait se le payer. Inversement, ça peut devenir frustrant de se faire tout le temps "payer" les choses. A moins de se la jouer "artiste fauché", c'est pas très valorisant... Dans un couple stable, on peut éventuellement s'en arranger, mais dans les étapes de construction du couple, la période où on "sort ensemble", c'est un vrai blocage ! Si tu es avec une meuf habituée aux deux-étoiles, tu vas pas oser l'inviter au bistrot du coin ou au McDo, et ce, même si éventuellement elle s'en fout et qu'elle adore les bistrots.
- Les références socio-culturelles. Quand on n'est pas du même milieu social, on a souvent du mal à communiquer. Quand tu rentres le soir t'as envie de raconter ta journée de boulot à quelqu'un qui peut la comprendre. J'ai déjà quitté quelqu'un, parce que dans son esprit j'étais une grande cheffe toute-puissante qui n'avait aucun problème, alors que j'essayais de partager avec lui les emmerdes quotidiennes de mon job de manager. Ca a l'air de rien, mais ça rend le quotidien réellement invivable.
Voilà entre autres pourquoi les gens choisissent le plus souvent, consciemment ou non, un partenaire de leur propre classe sociale. Sans compter, comme l'a dit "scandinave", que les possibilités de rencontres exogènes à ton milieu, passé le stade lycée/fac, se font très rares.le 14/08/2019 à 8:23 -
scandinaveMembre éprouvéEt pire : il y a des sites de rencontre pour cadre
. (alors que quelqu'un qui a fait des études supérieures peut très bien se marier avec quelqu'un qui a un BEP, je ne vois pas pourquoi ça devrait coller mieux quand les deux ont fait des études...) le 13/08/2019 à 16:11 -
PomalaixRédacteurHeureusement, beaucoup de couples fonctionnent parfaitement bien, alors que l'un ne comprend concrètement rien au métier de l'autre, malgré toutes les tentatives d'explication. Dans ces cas-là, en général on s'en accommode, et bien sûr on évite de rentrer dans les détails. Mais c'est sûr que c'est frustrant d'être résumé à "donc en gros tu passes tes journées sur un ordinateur".
Vous faites manifestement allusion à des différences de représentations, voire de conception du monde, qui seraient inconciliables et qui rendent toute discussion impossible. Et ça, je ne crois pas que ce soit spécialement lié à une question de milieu ou de niveau social.le 14/08/2019 à 11:08 -
Ryu2000Membre extrêmement actifPersonnellement ça ne me choque pas du tout, dès qu'il y a un public il y a possibilité de développer un produit.
Il y a même des applications de rencontres pour gens en couple qui veulent tromper leur conjoint. (applis de rencontre adultère)
Et pire : il y a des sites de rencontre pour cadre. (alors que quelqu'un qui a fait des études supérieures peut très bien se marier avec quelqu'un qui a un BEP, je ne vois pas pourquoi ça devrait coller mieux quand les deux ont fait des études...)
Les orgies comportant plus de 2 partenaires sexuels sont légales donc il n'y a pas de problème, les gens peuvent faire une partie carrée ou une partie fine. Il faut bien une application pour les aider.
Il y a également des applications détournées :
Certains disent que Tinder peut être utilisé pour avoir des relations sexuelles avec des inconnues.
Apparemment il y a des dealers qui passent par WhatsApp ou Snapchat :
Snapchat, WhatsApp: les nouveaux codes du deal 2.0
Menus bien garnis, horaires de livraison, offres promotionnelles... Le deal de drogue sur les réseaux sociaux reprend le marketing d'une entreprise juteuse, répondant à la demande d'un public de plus en plus large. Éphémères ou cryptées, ces applications facilitent le trafic, et complexifient le travail des enquêteurs pour démanteler ces réseaux.
Whatsapp, Tinder, Snapchat, Airbnb Un rapport dénonce l’essor de la prostitution sur les réseaux sociaux
====
Cet article me rappelle une fuite de l'application Grindr :
Fuite de données personnelles : l'appli de rencontres gay Grindr critiquée à son tour
L'application de rencontres gay Grinder, revendiquant 3,6 millions d'usagers actifs quotidiens, a laissé des entreprises accéder à des données personnelles de ses utilisateurs, incluant des informations sur leur localisation et leur statut HIV, a rapporté lundi le site d'informations BuzzFeed.le 12/08/2019 à 12:00 -
Ryu2000Membre extrêmement actifÇa fait un peu pléonasme, parce qu'avec "orgie" tu t'attends déjà à ce qu'il y en ait plus de 2, mais c'est écrit comme ça dans le wiktionary :
Orgie sexuelle comportant plus de deux partenaires sexuels.le 12/08/2019 à 19:49