Une grave faille de sécurité dans une demi-douzaine d'applications mobiles populaires a potentiellement divulgué les données personnelles et sensibles de millions d'utilisateurs en ligne.
Le chercheur Mikail Tunç a découvert fin décembre 2021 que plusieurs applications mobiles sur Android et iOS avaient des services de vérification d'identité mal configurés. Concrètement, ils n'ont pas suivi les bonnes pratiques, comme le recommande le prestataire Onfido.
Au lieu de conserver un jeton API sur le back-end, ils l'ont gardé exposé sur le front-end, ce qui pourrait entraîner une fuite de données biométriques. Si quelqu'un avait trouvé la faille avant Tunç, il aurait pu obtenir des données personnellement identifiables telles que des documents d'identité, des passeports ou des permis de conduire, des e-mails, des noms complets ou des adresses physiques, exposant les utilisateurs à un risque potentiel d'usurpation d'identité. De plus, un attaquant pourrait avoir obtenu des vidéos de selfies, qui nécessitent de nombreux services de vérification d'identité.
Des millions de victimes potentielles
Soi-disant, personne n'a trouvé la faille avant Tunç, ce qui signifie que les données restent sûres pour l'instant, bien que ce soit ou non le cas reste à voir.
Ces jetons ont généralement une date d'expiration, comme mesure d'urgence supplémentaire. Cependant, ces jetons particuliers n'avaient pas de date d'expiration, ce qui rendait la menace encore plus grande.
Selon CyberNews, qui a annoncé la nouvelle pour la première fois, les applications concernées incluent FxPro Direct App, une plateforme de trading avec plus de cinq millions d'utilisateurs, Europcar, une voiture de location avec plus d'un million d'utilisateurs, Chip, une application d'épargne avec près d'un demi-million d'utilisateurs. utilisateurs, vous achetez l'application Hoolah, l'application de crypto-monnaie Mode et le service d'autopartage Greenwheels.
CyberNews a demandé à Onfido s'il surveillait si ses clients suivaient une recommandation de ne pas laisser le jeton API dans l'interface, et la société a déclaré qu'elle fournissait des conseils techniques détaillés aux clients sur la façon de mettre en œuvre le flux de travail Safe Onfido IDV.
"Comme pour d'autres entreprises dans des domaines similaires, il est techniquement très difficile de savoir si une clé privée est utilisée de manière inappropriée, dans un tel éventail de flux de travail, ce qui rend difficile la conformité", a déclaré Onfido, ajoutant que ses premières enquêtes n'ont montré aucune preuve d'accès non autorisé aux données.
Tous ces chiffres proviennent du Google Play Store. L'App Store d'Apple ne révèle même pas les numéros de téléchargement, mais il est prudent de dire que ces chiffres pourraient être au moins le double.
Ceux qui ont utilisé l'une des applications répertoriées ci-dessus et qui craignent d'être attaqués par des acteurs malveillants doivent faire très attention aux messages suspects et aux demandes de connexion d'étrangers, doivent renforcer leurs mots de passe et ajouter une authentification à deux facteurs si possible.
Ils doivent également veiller à maintenir leurs appareils à jour, en exécutant une solution de cybersécurité et un pare-feu si possible.
- Vous pouvez également consulter notre liste des meilleurs VPN en ce moment.