Une application montrait la géolocalisation des membres de la famille en temps réel sur Internet, sans mot de passe

Plus de 238 000 utilisateurs ont vu la géolocalisation de leur famille exposée en temps réel pendant des semaines après qu’un développeur d’application a laissé des données sensibles exposées sur Internet, sans mot de passe.

Family Locator, une application iOS développée par React Apps, est présentée comme un outil permettant aux utilisateurs de rester informés de la géolocalisation de leurs proches. Pour un paiement unique, les développeurs australiens de l’application vous proposent de suivre jusqu’à 10 membres de votre famille ou amis, de recevoir “des alertes instantanées lorsque votre bien-aimé entre ou quitte un lieu” et de fournir un “historique détaillé des lieux jusqu’à trois jours”.

Il est facile d’imaginer comment certaines personnes pourraient voir dans une telle application un moyen de s’assurer que leur partenaire est parti ou vient d’arriver au bureau, ou que les enfants sont bien à l’école.

Mais quiconque a besoin de telles assurances ne sera probablement pas ravi d’apprendre que des informations aussi sensibles sur la géolocalisation de leurs proches en temps réel étaient accessibles à toute personne disposant d’une connexion Internet.

Comme le rapporte TechCrunch, la base de données MongoDB de Family Locator n’a pas été sécurisée, ni chiffrée, ni protégée par un mot de passe sur un serveur Internet :

Après avoir examiné la base de données, chaque enregistrement de compte contenait un nom d’utilisateur, son adresse électronique, sa photo de profil et ses mots de passe en clair. Chaque compte enregistrait également une trace de ses emplacements en temps réel et de ceux des autres membres de la famille, à quelques mètres près. Tous les utilisateurs qui avaient une configuration de périmètre géographique avaient également ces coordonnées stockées dans la base de données, ainsi que les noms données – telles que maison ou travail.

Le chercheur en sécurité Sanyam Jain a découvert cette violation de données et en a informé TechCrunch qui a pu confirmer que la base de données exposée continuait à enregistrer les emplacements en temps réel des utilisateurs en ouvrant un compte avec une fausse adresse électronique.

TechCrunch a également contacté un utilisateur dont la vie privée avait été exposée, qui a confirmé que les informations de géolocalisation divulguées étaient exactes et qu’un membre de la famille répertorié dans l’application était leur enfant dans une école secondaire à proximité.

Normalement, à ce stade, vous devriez vous attendre à ce que les journalistes ou les chercheurs entrent en contact avec les développeurs et les invitent à boucher en priorité ce trou de sécurité.

À cette occasion, TechCrunch a déclaré avoir passé plus d’une semaine à essayer de contacter React Apps sans succès. Le site Web de la société ne contient aucune information de contact, son enregistrement WHOIS est protégé par la confidentialité et les messages postés dans un formulaire de commentaires en ligne n’ont pas reçu de réponse. Les journalistes ont même tenté d’acquérir les documents commerciaux de la société, lesquels ont révélé le nom du propriétaire de la société mais n’ont toujours pas fourni d’informations de contact.

Finalement, en l’absence d’autres options disponibles, TechCrunch a contacté Microsoft. Étant donné que la base de données exposée était hébergée sur la plate-forme de serveur cloud Azure de Microsoft, il semble que le développeur ait pu être contacté. Quelques heures plus tard, la base de données a finalement été mise hors ligne.

React Apps n’a toujours pas fait de déclaration officielle reconnaissant la violation de données ou alertant ses utilisateurs qu’un incident de sécurité s’était produit du fait de sa propre négligence.

Nous devrions donc remercier Sanyam Jain et TechCrunch, de ne pas avoir abandonné face à un mur chaque fois qu’ils tentaient de joindre les responsables.
Hélas, de nombreux incidents de fuite de données par négligence de sécurité sur un serveur MongoDB ont été signalés.