Le réseau social axé sur la confidentialité True a subi une grave violation de données après qu’un serveur contenant des données d’utilisateurs privés a été laissé exposé en ligne.
Lancée en 2017, la société est fondée sur un engagement envers la confidentialité des utilisateurs et promet de ne jamais vendre ni partager les données des utilisateurs, mais un snafu de sécurité semble avoir vu son engagement rompu.
Selon la société de sécurité SpiderSilk, une erreur de configuration signifiait que n’importe qui pouvait lire et parcourir la base de données, qui n’était protégée par un mot de passe ni par aucune forme de cryptage.
Le serveur contiendrait des informations telles que les adresses e-mail des utilisateurs, les numéros de téléphone, les messages privés et les données de localisation, mais également des jetons d’accès aux comptes qui pourraient être utilisés pour détourner des comptes d’utilisateurs.
Sommaire
Vraie violation de données
Un certain nombre de tests menés par SpiderSilk ont montré que les données exposées en ligne pouvaient être utilisées pour prendre le contrôle des comptes et publier des messages sur le fil de la victime, mais aussi que les déclarations de conservation de données de True pourraient ne pas tenir la route.
Selon le réseau social, la suppression d’un compte « supprimera immédiatement tout votre contenu de nos serveurs », mais un test réalisé en conjonction avec TechCrunch a révélé que ce n’était pas le cas.
Les données attachées à un compte factice – y compris les messages privés, les publications et les photos – étaient toujours accessibles via la base de données exposée après la suppression.
Mossab Hussein, CSO chez SpiderSilk, était enclin à donner à l’entreprise le bénéfice du doute; Les incidents de sécurité et les erreurs de conservation des données de ce type sont monnaie courante – et souvent par inadvertance.
«C’est un autre exemple de la façon dont des erreurs peuvent survenir dans n’importe quelle organisation, même celles qui sont centrées sur la confidentialité», a-t-il déclaré.
«Cela souligne l’importance non seulement de créer des applications et des sites Web sécurisés, mais également de s’assurer que des mesures de sécurité des données appropriées sont intégrées dans leurs procédures internes.
Le vrai PDG Bret Cox a depuis reconnu l’incident et le serveur incriminé a été retiré, mais la société n’a pas encore publié de communiqué officiel.
