Ai.Type : importante fuite de données pour le clavier alternatif, 31 millions de clients concernés

Ai.Type : importante fuite de données pour le clavier alternatif, 31 millions de clients concernés

Le WTF rencontre le facepalm

Avatar de l'auteur
Sébastien Gavois

Publié dans

Internet

06/12/2017
44

Ai.Type : importante fuite de données pour le clavier alternatif, 31 millions de clients concernés

Encore une fuite d'informations personnelles, de nouveau via une base de données MongoDB mal sécurisée. 31 millions d'utilisateurs du clavier alternatif Ai.Type sont ainsi impactés : de nombreux détails étaient librement accessibles sur Internet.

Les bases de données MongoDB sont régulièrement la cible des pirates, qui n'ont parfois qu'à se servir à cause d'une mauvaise configuration. Le clavier alternatif Ai.Type vient d'en faire les frais : une BDD de 577 Go était librement accessible (sans mot de passe) en lecture et en écriture, comme le rapportent nos confrères de MacKeeper.

Le serveur appartient au co-fondateur de l'application, Eitan Fitus, ajoute ZDNet, qui a également pu accéder à une partie de la base de données. Après plusieurs tentatives pour le contacter, Fitus reconnait finalement le manque de sécurité à nos confrères et sécurise la base, sans davantage d'explications. Seuls les utilisateurs Android seraient concernés, mais cela reste à confirmer.

31 millions de clients touchés, 373 millions de données accessibles

Plus de 31 millions de clients sont impactés par cette fuite, contenant de très nombreuses informations personnelles : numéro de téléphone, nom du propriétaire, marque et modèle du smartphone, information sur le réseau mobile, définition de l'écran, langues, version d'Android, numéros IMSI et IMEI, emails associés au téléphone, pays de résidence, informations et liens des réseaux sociaux (Google+, Facebook, etc.) adresse IP et enfin la localisation (longitude et latitude)... excusez du peu.

Pire encore, plus de 6 millions d'entrées contiennent des numéros de téléphone et noms récupérés dans les contacts du smartphone. Plusieurs tables de la base de données contenaient également la liste des applications installées note ZDNet.com. Au total, pas moins de 373 millions de données étaient ainsi librement accessibles selon MacKeeper.

Pas de chiffrement, du texte saisi par les utilisateurs se trouverait dans la base de données

Vous en voulez encore ? Nos confrères ajoutent que l'ensemble des informations n'était pas chiffré… et ce n'est pas fini : « nous avons vu une table contenant plus de 8,6 millions d'entrées de texte saisies en utilisant le clavier ». Dans le lot, il serait question de « numéros de téléphone, de mots clés pour des recherches sur le Web et, dans certains cas, des adresses email concaténées et des mots de passe correspondants ».

« En théorie, il est logique que toute personne ayant téléchargé et installé le clavier virtuel Ai.Type sur son téléphone ait toutes les données de son téléphone en ligne » indique MacKeeper. De son côté, Ai.Type affirme sur la page de présentation de son clavier que « votre vie privée est notre principale préoccupation ». Effectivement, la société s'y intéresse de très près, beaucoup trop même...

Comme toujours, cette affaire soulève la question des droits accordés aux applications, souvent bien trop larges pour le service proposé. Mais les éditeurs en profitent parfois pour récupérer plus d'informations que nécessaire afin de les monétiser par la suite. « Si c'est gratuit, c'est que c'est vous le produit » comme le précise l'adage.

Comme le rappelle ZDNet, Ai.Type propose deux versions de son application : une gratuite avec publicité et une payante. Les deux collectent des informations personnelles des utilisateurs, mais le rayon d'action de la première est bien plus large... 

En attendant d'avoir plus de précision de la part d'Ai.Type – qui reste pour le moment muette – il est conseillé de changer vos mots de passe si vous utilisez cette application. 

 

44

Écrit par Sébastien Gavois

Tiens, en parlant de ça :

Sommaire de l'article

Introduction

31 millions de clients touchés, 373 millions de données accessibles

Pas de chiffrement, du texte saisi par les utilisateurs se trouverait dans la base de données

Commentaires (44)


Peckemys Abonné
Le 06/12/2017 à 07h 54

Sidérant.



Par contre, pas envie de lire la politique de sécurité pour savoir en quoi la version gratuite est pire que la payante ! <img data-src=" />


eglyn Abonné
Le 06/12/2017 à 08h 06

Je comprendrais jamais les admin qui laisse une bdd sans mot de passe…

Après, je trouve ça très bizarre qu’à l’install de MongoDB aucun mot de passe ne soit imposé…


gavroche69 Abonné
Le 06/12/2017 à 08h 08

Bof, vu la fréquence à laquelle sont publiées ces news sur le piratage je dirais que c’est plus “routinier” que “sidérant”… <img data-src=" />



Ils devraient recruter chez Pampers, paraît qu’ils sont doués pour “l’anti-fuites”… <img data-src=" />


comme le rapportent&nbsp;nos confrères de MacKeeper.Heu ! MacKeeper, le “pouriciel” que les utilisateurs confirmés sur Mac connaissent et qui ne l’installent pas.


Le 06/12/2017 à 08h 12

Attendez, si je comprend bien, c’est une appli “clavier” qui collecte cette myriade de données qui ne lui servent à rien pour fonctionner mais se revendent drolement bien ? <img data-src=" />


Le 06/12/2017 à 08h 17

Heuuu je reviens j’ai quelques mdp a changer moi… et apres je retourne fumer l’editeur.. pardon, le stagiaire dans son garage…


jotak Abonné
Le 06/12/2017 à 08h 21

Quoi de mieux qu’un clavier virtuel pour faire un keylogger? <img data-src=" />



Les apps permettant de remplacer le clavier virtuel devraient

systématiquement être auditées par google/apple avant d’atterrir sur les

stores.


Le 06/12/2017 à 08h 28







eglyn a écrit :



Je comprendrais jamais les admin qui laisse une bdd sans mot de passe…

Après, je trouve ça très bizarre qu’à l’install de MongoDB aucun mot de passe ne soit imposé…









Les vieilles versions n’imposaient pas une configuration à minima secure.







jotak a écrit :



Quoi de mieux qu’un clavier virtuel pour faire un keylogger? <img data-src=" />



Les apps permettant de remplacer le clavier virtuel devraient

systématiquement être auditées par google/apple avant d’atterrir sur les

stores.









Surtout que Google/Apple devrait directement restreindre les autorisations en fonction de la finalité de l’appli. Ex : clavier virtuel =&gt; pas d’enregistrement des données, pas d’accès au contact ectc. Mais cela requeirt peut être une modification plus fine de l’OS pour gérer ces autorisations.



Le 06/12/2017 à 08h 36

Je n’utilisais aucun clavier alternatif pour éviter ça justement…

Même si le clavier par défaut est perfectible (sous iOS) au moins, les données restent DANS le téléphone…


Le 06/12/2017 à 08h 38

“clavier virtuel =&gt; pas d’enregistrement des données, pas d’accès au contact”



Hmm, en même temps, la présence des contacts dans les prédictions du clavier sont utiles bien que pas indispensable.



Il est très dur d’appliquer des règles générales, certaines collectes peuvent être fait dans un but d’apport de fonctionnalité.


jotak Abonné
Le 06/12/2017 à 08h 45







FlamingFlowair a écrit :



Hmm, en même temps, la présence des contacts dans les prédictions du clavier sont utiles bien que pas indispensable.





Exact. De même, l’enregistrement des séquences de mots sera utilisée pour les prédictions futures.

Reste que ça donne aux claviers virtuels un rôle ultra sensible qui nécessite une attention toute particulière de google/apple.



Salamandar Abonné
Le 06/12/2017 à 08h 48

Au contraire. Ce genre de claviers vont te faire des prédictions de mots pour t’éviter de taper le mot en entier. Il va apprendre tes phrases habituelles pour devenir plus “intelligent” et personnalisé avec le temps.

Swiftkey a dû être un des premiers du genre.


Furanku Abonné
Le 06/12/2017 à 08h 49

Assez hallucinant que ce type d’incompétence ait encore lieu…

Dans des situations pareilles, des poursuites (devraient automatiquement être engagées contre la société ou les auteurs des applications concernées.



Même si c’est aussi à l’utilisateur de veiller aux services qu’il utilise (et aux droits/informations qu’ils demandent), il devrait y avoir des garanties minimales à respecter de nos jours.

Mais bon, quand on voit le pouvoir limité des CNIL et consorts…


Salamandar Abonné
Le 06/12/2017 à 08h 50

+1.

… Ou sinon, des applis open-source, auditées par la communauté.


Salamandar Abonné
Le 06/12/2017 à 08h 50

On se retrouve tristement à la merci de l’attention d’une seule personne, le sysadmin… Comme quoi, c’est pas un pauvre boulot de merde que tout le monde peut faire, mais un vrai boulot qui devrait être géré par plusieurs personnes pour éviter ce genre d’erreurs.


Le 06/12/2017 à 08h 51

Mouais lol



“intelligent” je me méfierais ^^ le clavier normal apprend tres bien sans collecté autant de choses et en les sécurisant autrement plus fortement


Le 06/12/2017 à 08h 51







jotak a écrit :



Quoi de mieux qu’un clavier virtuel pour faire un keylogger? <img data-src=" />



Les apps permettant de remplacer le clavier virtuel devraient

systématiquement être auditées par google/apple avant d’atterrir sur les

stores.







Ces apps ont déjà été auditées par la NSA qui n’a relevé aucune anomalie. <img data-src=" />



Vekin Abonné
Le 06/12/2017 à 09h 42

Pourquoi toutes ces données sont récoltées par le clavier en premier lieu ? Le beau keylogger que voilà <img data-src=" />





« Si c’est gratuit, c’est que c’est vous le produit » comme le précise l’adage.



Je ne suis pas tout à fait d’accord avec cet adage, par ailleurs. Les logiciels réellement gratuits et non-intrusifs, ça existe. Même sur Android <img data-src=" />


tazvld Abonné
Le 06/12/2017 à 09h 55







secouss a écrit :



Mouais lol



“intelligent” je me méfierais ^^ le clavier normal apprend tres bien sans collecté autant de choses et en les sécurisant autrement plus fortement





Quelle “clavier normal” ? J’espère que tu ne parles pas de celui installé de base sur ton smartphone.



numerid Abonné
Le 06/12/2017 à 09h 57

Sauf que ça finit par être très agaçant. Moi ça me fait perdre un temps fou.


anagrys Abonné
Le 06/12/2017 à 10h 01

&nbsp;







Tophe a écrit :



Je n’utilisais aucun clavier alternatif pour éviter ça justement…

Même si le clavier par défaut est perfectible (sous iOS) au moins, les données restent DANS le téléphone…





En tout cas elles ne sortent pas de chez Apple (ou Google pour Android).

Ou pas…? <img data-src=" />









Furanku a écrit :



Assez hallucinant que ce type d’incompétence ait encore lieu…

Dans des situations pareilles, des poursuites (devraient automatiquement être engagées contre la société ou les auteurs des applications concernées.



Même si c’est aussi à l’utilisateur de veiller aux services qu’il utilise (et aux droits/informations qu’ils demandent), il devrait y avoir des garanties minimales à respecter de nos jours.

Mais bon, quand on voit le pouvoir limité des CNIL et consorts…





Voir Apple et le compte “root”…



Le 06/12/2017 à 10h 37

Une base de donnée accessible depuis le net et sans mot de passe ?&nbsp;<img data-src=" />Je dis bravo


jotak Abonné
Le 06/12/2017 à 10h 40







anagrys a écrit :



&nbsp;



En tout cas elles ne sortent pas de chez Apple (ou Google pour Android).

Ou pas…? <img data-src=" />





Difficile à dire, mais au moins elles ne se retrouveront pas sur un serveur MongoDB librement accessible sans authentification ni chiffrement!



hellmut Abonné
Le 06/12/2017 à 11h 03

du grand art.

ce mec mérite d’être cloué au pilori.

Apple et Google devraient immédiatement interdire toute installation de cette appli tant qu’une MAJ n’a pas été effectuée.


Le 06/12/2017 à 11h 55

Justement je parle de celui de windows phone. Il collecte des données de manières globale mais pas que pour lui. De plus j’ai plus confiance en crosoft que dans une petite équipe qui semble vraiment être des arnaqueurs qui se foutent de leur client ;)



Quand tu laisse une telle base de données sans aucune sécurité c’est pas un “bug” ou une “erreur” c’est intentionnel.


jotak Abonné
Le 06/12/2017 à 12h 13

Bah non c’est sans doute pas intentionnel, en tout cas je vois pas l’intérêt. Ils peuvent même pas revendre les données puisqu’elles sont librement accessibles. C’est juste de l’amateurisme.


Le 06/12/2017 à 12h 16

Intentionnel dans le sens ou

1- ça demande du boulot et des compétences

2- ça demande de l’argent

3- après tout, qui s’en soucie ?



Totalement intentionnel, surtout quand tu écris sur ton site que la sécurité est ta priorité. Vu l’appli c’est pas des amateurs…


jotak Abonné
Le 06/12/2017 à 12h 20

Va savoir… J’ai trouvé ça un peu gros aussi comme gaffe, au premier abord… puis je suis allé voir leur linked-in qui recense 12 employés, on peut deviner plus de la moitié en marketing, bref, ça n’a pas l’air d’être si pointu techniquement. Surtout du bla-bla. Je parierais plutôt sur de l’amateurisme :-)


Le 06/12/2017 à 12h 30

C’est vrai qu’actuellement dans la tech et l’informatique on ne parle jamais de sécurité… Que les dev ne savaient pas du tout où ils envoyés la masse très conséquente de données collectées.



Quand tu collecte autant tu sais mieux que personne où elle vont et comment. La faille aurait été sur le clavier en lui même, le soft ou encore sur leur site web je dis pas. Mais sur leur gagne pain ? Franchement, quel dev est demeuré au point de ne pas hasher une base de donnée aussi énorme ?

&nbsp;

On parle pas de 10 000 personnes … 31 millions tu te pose certaines questions sur la sécurité, ils jouent la carte de l’amateurisme à plein pour pas se faire accuser d’avoir négligé la sécurité pour économiser du fric


jotak Abonné
Le 06/12/2017 à 13h 04

Non mais faut pas exagérer, mettre un mot de passe sur une base mongo (on parle pas de chiffrer le contenu hein, on parle juste de mettre un mot de passe) c’est pas ça qui coûte de l’argent, n’importe qui peut le faire en 2 minutes. Il n’y a aucun intérêt à ne pas le faire, vraiment j’en vois aucun, ou alors faudra m’expliquer plus en détail. A part l’ignorance, je vois pas.


Groupetto Abonné
Le 06/12/2017 à 13h 40

Même la RGPD ne permettra pas d’aller assez loin avec ce genre de comportement.



Une (grosse) amende c’est bien, mais franchement je verrais bien des sanctions pénales avec peine de prison pour des cas aussi extrêmes…


Le 06/12/2017 à 14h 46







jotak a écrit :



Non mais faut pas exagérer, mettre un mot de passe sur une base mongo (on parle pas de chiffrer le contenu hein, on parle juste de mettre un mot de passe) c’est pas ça qui coûte de l’argent, n’importe qui peut le faire en 2 minutes. Il n’y a aucun intérêt à ne pas le faire, vraiment j’en vois aucun, ou alors faudra m’expliquer plus en détail. A part l’ignorance, je vois pas.





Il n’y a non plus aucun intérêt à le faire quand tu peux faire autre chose qui rapporte de l’argent.. C’est une histoire de choix, et la sécurité est rarement prioritaire quand tu peux gagner plus de pognon à côté…



Le 06/12/2017 à 15h 31

si c’est comme swiftkey, il doit y avoir enregistrment des frappes du clavier pour faire de la prédiction des mots.

Swiftkey explique bien ça et on peut y souscrire ou ne pas utiliser le clavier.


Le 06/12/2017 à 22h 09

Ce qu’il faut, ce sont de vraies lois interdisant purement et simplement la collecte de données personnelles ainsi que leur revente.



Et pour que ces lois soient respectées, il faudra de vraies peines de prison dissuasives à la clé.



Pierre_ Abonné
Le 07/12/2017 à 11h 12

Si je ne me trompes pas, poru swiftkey il suffit de refuser de se connecter avec son compte google/microsoft pour qu’il ne collecte pas de données (mais le choix des thèmes du clavier est bien plus restreint, il faut bien motiver les gens à se connecter !)


Salamandar Abonné
Le 07/12/2017 à 12h 35

@secouss Le clavier normal ? Mais il collecte, bien sûr que si. Et si, il collecte autant. La différence étant peut-être qu’il n’envoie pas les données collectées en ligne (et c’est tant mieux).

@numerid Quoi te fait perdre ton temps ? Les suggestions ? T’es pas obligé de cliquer dessus, tu sais.


Salamandar Abonné
Le 07/12/2017 à 12h 35

Il collecte, mais il n’envoie pas en ligne, nuance. Mais il collecte.


Salamandar Abonné
Le 07/12/2017 à 12h 36

Mais… Comment tu fais un clavier qui s’adapte à l’utilisateur sans collecter des données sur l’utilisateur ?


Le 07/12/2017 à 12h 42

Justement je ne dis pas qu’il collecte pas (mauvaise expression de ma part) mais que j’ai plus confiance. De plus il envoit des données en ligne. C’est juste autrement plus sécurisé…


Le 08/12/2017 à 16h 37







Salamandar a écrit :



Mais… Comment tu fais un clavier qui s’adapte à l’utilisateur sans collecter des données sur l’utilisateur ?







Et bien soit tu conserve toutes les données nécessaires en local sans qu’elles puissent sortir de l’appareil, … soit tu ne fait pas de clavier qui s’adapte à l’utilisateur.



Salamandar Abonné
Le 08/12/2017 à 17h 08

La question de certains dans les commentaires porte sur la collecte par le clavier (que ça reste en local ou non). Genre “Android devrait interdire aux claviers d’enregistrer des données” “d’accéder à internet” (oui mais les claviers de gifs, hein ?). Bref sinon je suis d’accord, de la collecte de données devrait être conservée en local, filtrée de manière intelligente (l’API indique au clavier que c’est un champ de mot de passe, donc pas de keylogging à ce moment, etc).


jotak Abonné
Le 11/12/2017 à 09h 48

Sauf que si tu veux faire tourner les algos de machine learning pour améliorer la prédiction, tu vas pas le faire sur le petit snapdragon de ton smartphone. Je ne sais pas si ai.type fait du machine learning, mais ce ne serait pas déconnant.