Existant dans une version gratuite et payante, l'application de clavier virtuel pour mobile ai.type se veut intelligente. Son développeur éponyme semble avoir fait une belle bourde avec une fuite de données accidentelle.
Une fois de plus, c'est une mauvaise configuration de MongoDB qui est en cause. Elle a permis aux chercheurs en sécurité de Kromtech Security Center de débusquer une base de données de 577 Go accessible sans mot de passe et sans chiffrement.
Ce genre de trouvaille n'est pas une première. Par ailleurs, Kromtech a aussi eu quelques soucis avec sa gestion de MongoDB par le passé. Pour le cas présent, c'était un libre accès aux données personnelles de plus de 31 millions d'utilisateurs. A priori, seuls les utilisateurs Android sont affectés.
I can only add that unprotected Mongos have never been out of fashion. https://t.co/AhGlnDmNzo pic.twitter.com/vp4zDbOklu
— Bob Diachenko (@MayhemDayOne) 5 décembre 2017
ZDNet a été en mesure d'obtenir une partie de la base de données (qui a été sécurisée depuis). Il est question de noms d'utilisateurs, adresses mail, depuis combien de temps l'application a été installée ou encore de la localisation. Pour certains enregistrements, cela va plus loin.
Par exemple, des numéros IMSI et IMEI, des numéros de téléphone, adresses IP, sans compter des détails sur des profils Google publics. Dans certaines tables, il y avait également des données sur des contacts de l'appareil.
Ce n'est pourtant pas terminé avec parfois des informations saisies en utilisant le clavier alternatif. Des informations sensibles avec notamment des identifiants. Si jamais un cybercriminel est aussi tombé sur la base de données… il a de quoi fomenter quelques pièges.
Cette fuite de données fait en outre fortement s'interroger sur la grande latitude de collecte d'informations avec l'application gratuite.
À la BBC, Eitan Fitusi, le responsable et fondateur de ai.type, a minoré l'étendue de la quantité de données exposées. Il a évoqué une " base de données secondaire ", et a précisé que les données de localisation n'étaient pas exactes, qu'il n'y avait pas de numéros IMEI et que les données collectées sur le comportement de l'utilisateur ne concernaient que les clics sur les publicités.
