Une application de messagerie approuvée par Kik intercepte les mots de passe des utilisateurs en texte brut

Il semble que l'application de messagerie Blastchat – récemment sélectionnée pour le programme de développement crypto-monnaie de Kik à 3 millions de dollars – ait été stockée en texte clair avec des données sensibles, y compris des mots de passe.

Kin Developer Program un écosystème de démarrage de type incubateur créé par le géant de la messagerie instantanée Kik.

Malgré le fait qu'il ait gagné une place dans le programme de développement de Kik, Blastchat n'aurait utilisé aucun cryptage pour communiquer entre les périphériques et les serveurs (centralisés). . Cela signifie que tous les mots de passe, courriels, numéros de téléphone et noms d'utilisateur étaient pratiquement visibles pour les créateurs de Blastchat.

La vulnérabilité discordante a d'abord été mise en évidence par la sortie indépendante NuFi. Blastchat a depuis confirmé le problème et discrètement retiré ses applications à la fois de l'App Store et de Google Play .

Malgré une minimisation de l'authenticité du rapport, un porte-parole de Kin a confirmé à Hard Fork est en effet authentique.

Pressé sur la manière dont cette faille a dérapé au sein de l'équipe Kin, le porte-parole a expliqué que la société avait un comité de sélection qui vérifie le code de chaque candidat. Vraisemblablement, Blastchat a suivi le même processus:

Chaque application du programme Kin Developer a été soigneusement examinée par un comité de sélection composé de quatre membres de l'équipe et d'un conseiller technique. Le comité a noté chaque candidature en fonction d'un certain nombre de critères, notamment la qualité du cas d'utilisation du produit, la qualité de l'équipe et la probabilité que chaque équipe de développement réponde aux étapes prédéterminées du programme.

t présenter leurs intégrations Kin jusqu'au 2 octobre. Suite à cela, les développeurs seront chargés de soumettre leurs applications – avec l’intégration Kin – à Google Play et à l’App Store. À ce stade, nous n’avons pas vu d’intégrations et la violation de la sécurité n’a aucun lien avec Kin ou Kin Developer Program. La sécurité sera un composant qui sera évalué au cours de la journée de démonstration, et nous examinerons cette question lors de la présentation de l’intégration Kin de Blastchat.

Le nombre d’utilisateurs n’a pas été atteint . «Blastchat n’a jamais vécu avec Kin», a déclaré Kin à Hard Fork. «Nous évaluerons la sécurité de toutes les applications du programme avant d’envoyer les nouvelles versions avec intégrations Kin après le jour de la démonstration. La pression supplémentaire liée à la protection de l'argent réel, maintenant que Kin sait à quel point les mises en œuvre du programme Kin Developer peuvent être hasardeuses, a suffi à justifier l'audit du code avant la soumission.

Dans un tweet à Hard Fork, Blastchat a décrit ce qui s'est passé après la découverte de ses mauvaises pratiques.

“Nous avons mis fin à notre instance AWS Cloud. Cela a supprimé toutes les données [our]donc le jour du lancement, nous commencerons avec zéro utilisateur », a écrit un compte officiel. «Nous aurons une mise à jour au début de la semaine prochaine, une fois que nous aurons compris ce qui s’est passé.»

On ne peut pas sous-estimer à quel point ces pratiques de sécurité sont ridiculement négligentes. Les dangers de stocker des données sensibles dans des fichiers en texte brut sont non seulement largement documentés, les conséquences ont été répétées .

Si vous êtes un pionnier de l'application Blastchat, il est probablement préférable de lisez sur ce qu'il faut faire, maintenant que les identifiants de votre compte ont été compromis.

En tout cas, il s'agit d'un récit pour nous tous: les partenariats ne sont pas des avenants. informations d'identification que vous n'utilisez nulle part ailleurs.

Et pour tous les autres services sur Internet: arrête de stocker les informations du compte en texte brut!

Publié le 13 septembre 2018 – 15:51 UTC