Whisper, conçu pour partager des

Whisper est une application qui permet de partager ses « secrets » en postant des messages anonymes. Mais des failles de sécurité ont permis de rendre disponible en ligne, à la vue de tous, le contenu des utilisateurs. L’exposition de données est le résultat d’une base de données ouverte sans protection par authentification ou mot de passe, d’après le Washington Post.

Les chercheurs indépendants Matthew Porter and Dan Ehrlich sont tombés sur la malle au trésor, qui contient environ 900 millions de données, enregistrées depuis le lancement en 2012, jusqu’à aujourd’hui.

Bien que ces informations ne comportent pas de noms d’utilisateurs, ils comprennent surnoms, âges, ethnies, sexes, villes natales, appartenances à des groupes – dont certains sont de nature sexuelle – et des données de localisation liées aux publications. Les informations de localisation comprennent les coordonnées du dernier post soumis par un utilisateur, « ce qui peut pointé vers une école, un lieu de travail ou un quartier spécifique », d’après la publication.

Whisper a réagi rapidement

Une fois alerté sur le fait que la base de données est ouverte, ce lundi, Whisper a restreint l’accès et comblé la lacune de sécurité de l’authentification. La police fédérale a également été avertie. L’application de partage de secrets a déclaré que la base de données « n’a pas été conçue pour être interrogée directement » ; au contraire, les informations qu’elle contient étaient uniquement destinées à être rendues publiques pour les utilisateurs de l’application.

Whisper avait déjà été l’objet de critiques en 2014 lorsque le Guardian a révélé que la localisation des utilisateurs était traquée, même s’il était possible de désactiver l’option de surveillance de la localisation. A l’époque, plus de 2,6 millions de messages étaient envoyés quotidiennement.

L’an dernier, des chercheurs de Pen Test Partners ont découvert que quatre applications mobiles de rencontres – 3Fun, Grindr, Romeo et Recon – divulguaient les coordonnées précises de leurs utilisateurs. 3Fun a « la pire sécurité que nous ayons vu sur une application de rencontre », selon les chercheurs. Quant aux trois autres, elles sont vulnérables à l’exposition de la localisation GPS par des outils d’usurpation d’identité.

Source : ZDNet.com