AI.type : une base de données exposée sans mots de passe

Une base de données contenant les données d’au moins 31 millions d’utilisateurs de l’application AI.type a été exposée sur le réseau. Cette application disponible pour Android et iOS proposait gratuitement un clavier alternatif pour les utilisateurs qui souhaitaient changer leurs habitudes de frappe.

L’application était dans une version gratuite aux côtés de la version payante et se finançait notamment via la collecte de données, dont les modalités étaient détaillées dans la politique de confidentialité publiée sur le site. Mais l’application a fait les frais d’une négligence grave en matière de sécurité.

La base de données qui contenait l’ensemble des données collectées par Ai.type n’était en effet pas protégée par un mot de passe. Celle-ci, hébergée sur un serveur déployé par l’un des fondateurs de la société, était librement accessible sur le réseau et pouvait donc être facilement découverte et pillée par des cybercriminels qui auraient voulu piller les données personnelles.

 

La faille de sécurité a été découverte par les chercheurs du Security Research Center de MacKeeper. Dans un communiqué publié sur leur site, ils expliquent avoir ainsi découvert que AI.type exposait malencontreusement plus de 577Go de données personnelles appartenant à leurs utilisateurs sur cette base de données non sécurisée.


Les données exposées contenaient les informations « classiques » collectées par des applications lorsqu’elles sont installées sur le téléphone : numéro de l’utilisateur, nom, numéro IMEI d’appareil et autres données de géolocalisation. Mais la base de données contenait d’autres types de données collectées par l’application, notamment les données de contact du répertoire de l’ensemble des utilisateurs. Celles-ci contenaient notamment les numéros de téléphone et emails contenus dans le répertoire. ZDNet.com, qui a pu accéder à une partie des données exposées, explique avoir constaté la présence d’un peu plus de 10,7 millions d’adresses email et plus de 364 millions de numéros de téléphone.

ZDNet.com précise également avoir constaté que l’application collectait une partie des textes tapés à l’aide du clavier, rassemblé dans une archive contenant plus de 8,6 millions d’entrées. Au sein de cette base de données, on retrouve ainsi des mots de passe et des adresses email qui leur sont liés.

La faille de sécurité n’affecte apparemment que les utilisateurs de la version Android de l’application. Le serveur de AI.type a depuis été sécurisé, mais la société n’a pas encore communiqué sur la brèche de sécurité à l’intention de ses utilisateurs.

ZDNet