Neighbourhood Alert, une application de messagerie destinée aux membres du Royaume-Uni, a divulgué des données utilisateur sensibles à toute personne souhaitant effectuer une recherche, ont révélé des experts.
Au Royaume-Uni, les citoyens peuvent former des groupes de surveillance de quartier, qui ont des directeurs et d'autres membres approuvés. Pour communiquer, les membres peuvent utiliser diverses applications, notamment Neighbourhood Alert, selon un rapport de Enregistrer Soutenue par les autorités locales nationales et régionales, elle compte plus d'un demi-million de membres.
L'application, disponible via le Web et via une application mobile, contenait de nombreuses informations personnelles identifiables (PII) sur ses utilisateurs, notamment les noms complets, les adresses personnelles et e-mail et, si les utilisateurs les fournissaient, les numéros de téléphone et les photos de profil.
Confirmer le défaut
L’application permettait également aux coordinateurs de plateforme de créer des « cartes » – des sous-zones de la ville – en dessinant une zone sur une carte. Le projet pouvait être aussi vaste que le souhaitait le coordinateur – et se limitait uniquement à la zone dans laquelle ils étaient enregistrés. Une fois le tableau établi, le modérateur pourra voir tous les membres inscrits à l’intérieur.
Le problème ici est que n’importe qui peut s’inscrire en tant que coordinateur de plateforme et que n’importe qui peut créer un graphique. The Register a testé cette idée, en utilisant de fausses informations et une adresse e-mail non officielle pour s'inscrire avec succès, mettre en place un système et obtenir des données utilisateur sensibles presque instantanément. Les données sensibles ainsi obtenues appartiennent à toutes sortes de personnes, y compris des policiers, des députés et d’autres personnalités de premier plan « ayant des attentes raisonnablement élevées en matière de confidentialité ».
Le message indique en outre que la société derrière l'application s'appelle VISAV. Elle a été informée de l'erreur de sécurité et a répondu en comblant la faille et en s'excusant pour l'erreur.
« Cette anomalie a été corrigée immédiatement et nous avons volontairement informé chaque membre pour les informer et leur fournir des conseils, même la grande majorité des membres qui n'étaient probablement pas concernés par elle », a déclaré Mike Douglas, chef de produit et délégué à la protection des données chez VISAV. Nous avons également informé nous-mêmes le régulateur pour soutenir notre enquête approfondie et contribuer à prévenir les risques futurs.