Un expert en cybersécurité a découvert au moins deux serveurs appartenant à une application de surveillance “sécurisée” pour iOS et Android, TeenSafe, et qui étaient sur Amazon Web Services (AWS) depuis des mois sans avoir besoin du moindre mot de passe pour accéder aux données.
L’application mobile, TeenSafe, se présente comme une application de surveillance “sécurisée” construite par les parents, pour les parents. Il permet aux parents d’afficher les messages texte de leurs enfants, de surveiller qui ils appellent et quand, de suivre les localisations actuelles et passées des téléphones, de vérifier leur historique de navigation et de voir les applications qu’ils ont installées.
Les serveurs vulnérables ont été découverts par Robert Wiggins, un expert en cybersécurité basé au Royaume-Uni qui recherche des données publiques exposées. La société a fermé un serveur après avoir été contacté par ZDNet. L’autre serveur ne contenait apparemment que des données non sensibles : à priori, des données de test.
Les données de plus de 10 000 comptes ont été exposées !
Wiggins a déclaré que les serveurs non protégés permettaient à quiconque de voir les identifiants utilisateur Apple, les adresses email des parents, les numéros de téléphone personnels, les tentatives d’utilisation par les utilisateurs de la fonction “trouver mon iPhone” ainsi que les mots de passe stockés en clair.
Wiggins a déclaré que si des données Android avaient été exposées, il n’était pas tombé dessus.
L’expert en sécurité a déclaré à la BBC que les données étaient visibles parce que TeenSafe n’avaient pas mis en place les mesures de sécurité de base, comme un pare-feu, pour les protéger.
De son côté, TeenSafe affirme que son application de surveillance est sécurisée et utilise le chiffrement pour protéger les données :
TeenSafe utilise les technologies de chiffrement des données dernier cri, SSL et Vormetric, pour sécuriser les données de votre enfant. Les données de votre enfant sont chiffrées, et le restent jusqu’à la fin, à savoir lorsqu’elles parviennent aux parents.
Le contenu des messages, y compris les photos, n’a pas été concerné par cette fuite de données, et Zack Whittaker de ZDNet rapporte qu’aucun des enregistrements ne contenait l’emplacement des parents ou des enfants. Mais il s’agit là d’une maigre consolation : en effet, un hacker pourrait simplement utiliser ces mots de passe en clair pour avoir accès au contenu d’un adolescent car, comme Whittaker l’a noté, l’application exige que l’authentification à deux facteurs (2FA) soit désactivée. Ainsi…
…un acteur malveillant visualisant ces données n’a besoin que d’utiliser les identifiants pour pénétrer dans le compte de l’enfant afin d’accéder au contenu de ses données personnelles.
Le stockage de mot de passe sécurisé et efficace aurait rendu cet incident presque impossible, même avec une base de données de mot de passe volée. TeenSafe affirme que plus d’un million de parents utilisent son service.
Billet inspiré de TeenSafe phone monitoring app leaks teens’ iCloud logins in plaintext, sur Sophos nakedsecurity.
Qu’en pensez-vous ? Laissez un commentaire.