Il n’est pas rare d’apprendre que les données d’une entreprise ou de ses clients ont été exposées en ligne. Mais ce n’est pas parce que cela arrive souvent que cela rend la situation moins dramatique, en particulier lorsque ces données proviennent d'une multitude d'applications de rencontres qui s'adressent à des groupes et des intérêts spécifiques.Les chercheurs en sécurité Noam Rotem et Ran Locar ont découvert une collection de buckets Amazon S3, le service de stockage principal d’Amazon Web Services, accessibles au public. Chacun contenait une mine de données provenant de différentes applications de rencontres spécialisées parmi lesquelles 3somes, Cougary, Gay Daddy Bear, Xpal, BBW Dating, Casualx, SugarD, Herpes Dating et GHunt. Au total, les chercheurs ont trouvé 845 gigaoctets et près de 2,5 millions d'enregistrements, représentant probablement des données de centaines de milliers d'utilisateurs.
Les informations étaient particulièrement sensibles et comprenaient des photos et des enregistrements audio sexuellement explicites. Les chercheurs ont également trouvé des captures d'écran de chats privés d'autres plateformes et des reçus de paiements, envoyés entre les utilisateurs de l'application dans le cadre des relations qu'ils établissaient. Et bien que les données exposées comprenaient des PII (informations d'identification personnelle) limitées, comme les vrais noms, les dates d’anniversaire ou les adresses e-mail, les chercheurs précisent qu'un hacker motivé aurait pu utiliser les photos et autres informations diverses disponibles pour identifier de nombreux utilisateurs.
Les chercheurs ont fait cette découverte le 24 mai. Lorsqu’ils ont tracé les buckets exposés, ils ont réalisé que toutes les applications semblaient provenir de la même source. Leur infrastructure était assez uniforme, les sites Web des applications avaient tous la même mise en page et de nombreuses applications répertoriaient "Cheng Du New Tech Zone" en tant que développeur sur Google Play. Le 26 mai, deux jours après la découverte initiale, les chercheurs ont contacté 3some. Le lendemain, ils ont reçu une brève réponse et tous les buckets ont été verrouillés simultanément :
« Parfois, l'étendue d'une violation de données et le propriétaire des données sont évidents, et le problème est rapidement résolu. Mais rares sont ces cas de figure. Le plus souvent, nous avons besoin de plusieurs jours d'enquête avant de comprendre ce qui est en jeu ou d’où provienent les données.
« Comprendre une brèche et son impact potentiel nécessite une attention et un temps minutieux. Nous travaillons dur pour publier des rapports précis et fiables, garantissant que tous ceux qui les lisent comprennent leur sérieux.
« Certaines parties concernées nient les faits, ignorant nos recherches ou minimisant son impact. Nous devons donc être minutieux et nous assurer que tout ce que nous trouvons est correct et précis.
« Dans ce cas, les fichiers de chaque application ont été stockés sur un fichier AWS S3 mal configuré, dans un seul compte AWS partagé. Les buckets S3 ont été nommés d'après l'application de rencontres dont ils sont issus. Au départ, nous n'avons contacté qu'une seule entité – 3somes - pour présenter nos résultats.
« 3somes a rapidement répondu, demandant des détails supplémentaires. Nous avons répondu en fournissant l'URL de leur compartiment mal configuré et avons mentionné que d'autres buckets appartenant à leurs sociétés sœurs apparentes étaient également accessibles au public (sans préciser lesquelles).
« Bien que nous n'ayons reçu aucune autre communication, le même jour, tous les buckets appartenant à toutes les autres applications ont également été sécurisés, confirmant notre hypothèse sur le développeur commun ».
L’impact potentiel d’une utilisation de ce genre de données
Bien que les données des applications de rencontres soient toujours sensibles et privées, les utilisateurs des applications exposées dans cette violation de données seraient particulièrement vulnérables à diverses formes d'attaques, d'intimidation et d'extorsion.
Le phénomène du « sugar dating » (sur Internet essentiellement avec sugar boy – gigolo -, sugar daddy ou sugar mommy) est la plupart du temps assimilé à de la prostitution, si bien que les sites qui en font commerce ont été attaqués en justice. Aux États-Unis comme en France, la justice n'a pas trouvé le moyen d'inculper l'un de ces sites, ceux-ci se défendant en disant qu'ils ne font que mettre en relation des personnes d'intérêts complémentaires. Cependant, des hackers pourraient exploiter ce genre de données contre les utilisateurs avec un effet dévastateur.
En utilisant les images de diverses applications, les hackers pourraient créer de faux profils efficaces pour créer de faux profils en ligne, faire des fraudes ou abuser des utilisateurs imprudents.
Toutes les données PII exposées créent des risques beaucoup plus importants pour les utilisateurs. Étant donné la nature de bon nombre de ces applications - dans certains cas, impliquant des transactions financières, des fétiches et des IST - avoir votre présence sur l'application rendue publique pourrait créer un stress énorme dans votre vie personnelle.
Conscients de cela, les hackers pourraient utiliser des images contenant des informations personnelles pour trouver des utilisateurs sur les réseaux sociaux et menacer de « dévoiler » leurs activités en public, à leurs amis et à leur famille. Malheureusement, ce type de chantage et d'extorsion pourrait s'avérer incroyablement rentable.
Avec autant d'utilisateurs de chaque application exposés à la violation de données, les criminels n'auraient qu'à convaincre un petit nombre de personnes de les payer pour qu'un programme de chantage et d'extorsion réussisse.
Ce faisant, ils pourraient détruire les relations et la vie personnelle et professionnelle de nombreuses personnes.
Il faut tout de même préciser qu’il ne s’agit pas d’un piratage ici, mais simplement de données mal conservées. Les chercheurs ne savent pas si quelqu'un d'autre a découvert ces données avant eux. C'est bien là le nœud du problème avec les expositions de données : rendre les données accessibles par erreur est au mieux une erreur sans conséquence, mais au pire, les hackers peuvent s’en servir pour se faire un maximum d’argent. Et dans le contexte des applications de rencontres en particulier, les informations pourraient avoir un réel impact sur la sécurité des utilisateurs si elles étaient volées avant que le développeur ne les protège. De nombreuses violations contiennent des données comme les adresses e-mail et les mots de passe, ce qui est déjà assez mauvais. Mais lorsque des données fuitent de sites comme Ashley Madison, Grindr ou Cam4, cela est susceptible d’engendrer le doxing, l'extorsion et d'autres abus en ligne graves. Dans ce cas, Herpes Dating pourrait même potentiellement révéler l'état de santé d'une personne.
« Quelle confiance accordons-nous aux applications pour nous sentir suffisamment à l'aise et leur confier ces données sensibles – les informations sur les MST, des vidéos explicites », a demandé Nina Alli, directrice exécutive du Biohacking Village at Defcon et chercheuse en sécurité biomédicale. « C'est une façon néfaste de révéler le statut de santé sexuelle de quelqu'un. Ce n'est pas quelque chose dont il faut avoir honte, mais il y a de forts risques de stigmatisation. »
Source : rapport
Voir aussi :
Facebook reporte le déploiement de son service de rencontres (Facebook Dating) dans l'UE qui lui demande des gages de protection de la vie privée via le régulateur irlandais Assiste-t-on à l'évolution des IA conversationnelles dans l'industrie des rencontres en ligne ? Fatigué d'écrire les banalités d'usage, un ingénieur s'appuie sur une IA et obtient des rendez-vous Les applications de rencontres ont besoin de femmes. Les annonceurs ont besoin de diversité. Les entreprises d'IA proposent une solution : des visages générés par ordinateur 
Envoyé par Stéphane le calme
