TVSmiles, une application mobile basée à Berlin proposant de gagner de la monnaie numérique, a montré un manquement à la sécurité des données personnelles de ses utilisateurs.
La société spécialisée UpGuard, qui a décelé la faille et publié un rapport mardi 2 juin, dit entre autres avoir trouvé un accès à 901 000 adresses e-mail uniques, avec un grand nombre de données personnelles associées. Le défaut est cependant déjà corrigé.
Fuite de données personnelles
TVSmiles est une application d'origine allemande. Son principe est de récompenser ses utilisateurs en leur proposant de répondre à des quizz ou de regarder des vidéos.
L'application, qui collecte des données sur ses utilisateurs, n'a cependant pas sécurisé certaines d'entre elles. La société UpGuard explique ainsi avoir découvert un espace de stockage Cloud Amazon S3 dont les données n'étaient pas sécurisées.
Cet espace contenait un fichier de sauvegarde de base de données pesant 306 Go : selon le rapport, il était possible de trouver dans ce fichier des « informations non cryptées, personnellement identifiables et liées à des utilisateurs individuels ». UpGuard ajoute que celle-ci fournit « des informations sur les intérêts des utilisateurs en se basant sur les réponses aux quizz, les associations d'appareils intelligents ou les détails de comptes et d'identifiants ».
901 000 adresses e-mail concernées
Le fichier est donc conséquent. Au sein du fichier, UpGuard dit avoir trouvé 261 tables de bases de données. L'une d'elles, nommée « core_users » est composée de plus de 6,6 millions de lignes. Et en triant les entrées ayant une adresse e-mail liée, la société dit avoir listé 901 000 adresses uniques.
Si le rapport n'a été publié que le 2 juin, le défaut de sécurité a été corrigé il y a déjà plusieurs semaines. UpGuard l'a signalé le 13 mai à TVSmiles, qui a répondu le 15 mai que l'espace de stockage « avait été immédiatement sécurisé ».
UpGuard a ensuite confirmé que cette sécurisation était effective. De son côté, le co-fondateur de TVSmiles, Gaylord Zach, a alors déclaré que sa société « enquêterait davantage sur le contenu des données exposées pour prendre des mesures supplémentaires ».
Auprès de TechCrunch, il précise que le fichier de sauvegarde datait de 2017, et qu'il avait été créé en vue d'opérations de maintenance. Désormais, le dirigeant se dit à la fois « reconnaissant envers UpGuard » et « embarrassé par cette exposition inutile des données d'utilisateurs ».
Sources : TechCrunch, UpGuard
