Deux applications font fuiter des données d'utilisateurs Android
À l'intérieur du Google Play Store, il existe de nombreuses applications potentiellement dangereuses. Il s'agit d'applications d'intelligence artificielle (IA) sans licence et qui, dans certains cas, ne sont pas sécurisées, annoncées comme étant utilisées pour modifier et vérifier l'identité.
Le danger de ces applications est qu'elles ont divulgué des milliards de profils personnels d'utilisateurs Android. Un rapport indique qu'une application spécifique cause un problème grave. Cette application, répertoriée dans le Google Play Store, s'appelle "Video AI Art Generator & Maker".
L'application a été installée plus de 500 000 fois, a reçu 11 000 likes et, selon Forbes, elle a divulgué plus de 1,5 million d'images d'utilisateurs, plus de 385 000 vidéos et des millions de fichiers d'IA créés par les utilisateurs.
La fuite s'est produite parce qu'un stockage Google Cloud Storage était mal configuré, permettant à n'importe qui d'accéder aux fichiers stockés, même à ceux qui n'ont pas été authentifiés.
Plus de 12 To de fichiers médiums appartenant aux utilisateurs de l'application ont été divulgués via ce boîtier de stockage. Il convient de noter que ce boîtier de stockage a stocké et divulgué 8,27 millions de fichiers médiums car il a collecté tous les fichiers depuis le lancement de l'application le 13 juin 2023.
Cette application n'apparaît pas sur le Play Store car Google aurait la masquée après avoir signalé des problèmes d'application liés aux données et aux fichiers personnels des utilisateurs.
Mais ce n'est pas tout, une autre application appelée IDMerit du même développeur a divulgué des informations appelées "données de vérification de l'identité des clients (KYC)". Il s'agit d'informations personnelles et professionnelles que les entreprises et les institutions financières sont tenues d'avoir légalement pour vérifier votre identité et déterminer le niveau de risque lors d'une transaction avec vous.
Ces données concernent des personnes aux États-Unis et dans 25 autres pays, dont l'Allemagne, la France, la Chine et le Brésil. Les informations personnelles divulguées comprennent: nom complet, adresse, code postal, numéro de téléphone, e-mail, sexe, date de naissance...
Heureusement, Codeway, le développeur d'IDMerit et Video AI Art Generator & Maker, a déclaré avoir repris le contrôle des données en février de cette année.
Recommandations
Bien qu'il ne soit pas certain que les données des utilisateurs soient incluses dans les fuites susmentionnées, les experts recommandent aux utilisateurs de vérifier leur adresse e-mail via le service Have I Been Pwned pour détecter rapidement les risques liés à d'autres incidents.
Si vous utilisez un gestionnaire de mots de passe, utilisez le code d'authentification lorsque cela est possible et soyez vigilant face aux astuces des campagnes d'escroquerie en ligne.
Vérifiez la fiabilité des développeurs d'applications, recherchez la confirmation "développeur vérifié" de Google dans le Play Store.
Soyez prudent avec les applications qui font chauffer votre téléphone et le décharger même lorsque l'application est fermée.
De plus, soyez prudent avec les applications qui proposent des forfaits d'abonnement Pro à vie à bas prix (par exemple 4,99 USD). Vous voudrez peut-être analyser les applications sur votre téléphone avec le système de défense Google Play Protect. Ouvrez le Play Store et appuyez sur l'icône de votre profil dans le coin supérieur droit. Ensuite, sélectionnez Play Protect > Balayer.