Ai.Type : importante fuite de données pour le clavier alternatif, 31 millions de clients concernés

 Encore une fuite d’informations personnelles, de nouveau via une base de données MongoDB mal sécurisée. 31 millions d’utilisateurs du clavier alternatif Ai.Type sont ainsi impactés : de nombreux détails étaient librement accessibles sur Internet.

Les bases de données MongoDB sont régulièrement la cible des pirates, qui n’ont parfois qu’à se servir à cause d’une mauvaise configuration. Le clavier alternatif Ai.Type vient d’en faire les frais : une BDD de 577 Go était librement accessible (sans mot de passe) en lecture et en écriture, comme le rapportent nos confrères de MacKeeper.

Le serveur appartient au co-fondateur de l’application, Eitan Fitus, ajoute ZDNet, qui a également pu accéder à une partie de la base de données. Après plusieurs tentatives pour le contacter, Fitus reconnait finalement le manque de sécurité à nos confrères et sécurise la base, sans davantage d’explications. Seuls les utilisateurs Android seraient concernés, mais cela reste à confirmer.

31 millions de clients touchés, 373 millions de données accessibles

Plus de 31 millions de clients sont impactés par cette fuite, contenant de très nombreuses informations personnelles : numéro de téléphone, nom du propriétaire, marque et modèle du smartphone, information sur le réseau mobile, définition de l’écran, langues, version d’Android, numéros IMSI et IMEI, emails associés au téléphone, pays de résidence, informations et liens des réseaux sociaux (Google+, Facebook, etc.) adresse IP et enfin la localisation (longitude et latitude)… excusez du peu.

Pire encore, plus de 6 millions d’entrées contiennent des numéros de téléphone et noms récupérés dans les contacts du smartphone. Plusieurs tables de la base de données contenaient également la liste des applications installées note ZDNet.com. Au total, pas moins de 373 millions de données étaient ainsi librement accessibles selon MacKeeper.

Pas de chiffrement, du texte saisi par les utilisateurs se trouverait dans la base de données

Vous en voulez encore ? Nos confrères ajoutent que l’ensemble des informations n’était pas chiffré… et ce n’est pas fini : « nous avons vu une table contenant plus de 8,6 millions d’entrées de texte saisies en utilisant le clavier ». Dans le lot, il serait question de « numéros de téléphone, de mots clés pour des recherches sur le Web et, dans certains cas, des adresses email concaténées et des mots de passe correspondants ».

« En théorie, il est logique que toute personne ayant téléchargé et installé le clavier virtuel Ai.Type sur son téléphone ait toutes les données de son téléphone en ligne » indique MacKeeper. De son côté, Ai.Type affirme sur la page de présentation de son clavier que « votre vie privée est notre principale préoccupation ». Effectivement, la société s’y intéresse de très près, beaucoup trop même…

Comme toujours, cette affaire soulève la question des droits accordés aux applications, souvent bien trop larges pour le service proposé. Mais les éditeurs en profitent parfois pour récupérer plus d’informations que nécessaire afin de les monétiser par la suite. « Si c’est gratuit, c’est que c’est vous le produit » comme le précise l’adage.

Comme le rappelle ZDNet, Ai.Type propose deux versions de son application : une gratuite avec publicité et une payante. Les deux collectent des informations personnelles des utilisateurs, mais le rayon d’action de la première est bien plus large

En attendant d’avoir plus de précision de la part d’Ai.Type – qui reste pour le moment muette – il est conseillé de changer vos mots de passe si vous utilisez cette application.

nextinpact