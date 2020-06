Noam Rotem et Ran Locar ont découvert ces bases de données hébergées sur des serveurs Amazon Web Services accessibles à tous en parcourant le web à la fin mai. Ils ont publié un rapport de recherche sur le site vpnMentor, lundi.

Chacun des répertoires contenait des données d’une différente application de rencontre spécialisée. 3somes, Cougary, Gay Daddy Bear, Xpal, BBW Dating, Casualx, SugarD, Herpes Dating et GHunt sont parmi les plateformes touchées. Elles sont pour la plupart exploitées par le même développeur, une entité se nommant Cheng Du New Tech Zone.

En tout, plus de 20 millions de fichiers étaient publiquement accessibles au moment de la découverte des chercheurs. Cela représentait plus de 845 Go de photos à caractère sexuel, de captures d’écran de conversations privées et d’enregistrements audio explicites, entre autres.

Nous étions étonnés par l’ampleur et la sensibilité des données. Le risque de doxxing (divulgation publique de données personnelles dans le but de nuire à quelqu’un) est très réel – l’extorsion, l’abus psychologique. En tant qu’utilisateur de l’une de ces applications, vous ne vous attendez pas à ce que des gens à l’extérieur de l’application puissent consulter et télécharger ces données , a dit le chercheur Ran Locar en entrevue avec Wired.

Des données mal stockées

L’accès aux bases de données a été restreint après que les chercheurs eurent contacté les gens derrière les applications de rencontre spécialisées. Nul ne sait pour l’instant si des personnes malveillantes ont pu les consulter avant qu’elles ne deviennent privées.

L’organisation qui a développé ces applications a raté sa configuration. C’est dangereux pour les personnes qui les utilisent , soutient Ran Locar, précisant que cette situation n’avait rien à voir avec les protocoles de sécurité d’Amazon Web Services.

Des renseignements personnels comme des noms ou des adresses courriel ainsi que des mots de passe ne faisaient pas partie des bases de données. Il n’en demeure pas moins que l'information contenue dans les photos et les conversations auraient pu permettre à des pirates de déterminer l'identité des gens.