En résumé:
- PCWorld rapporte que les applications d’IA de Codeway ont divulgué plus de 12 To de données utilisateur, dont 1,5 million d’images et 400 000 vidéos de leur application Video AI Art Generator en raison d’une erreur de configuration de Google Cloud.
- La violation affecte des utilisateurs dans 26 pays et a exposé des informations personnelles sensibles via l’application de vérification IDMerit, notamment des noms, des adresses et des numéros de carte d’identité.
- Les utilisateurs doivent immédiatement désinstaller les applications Codeway et rester vigilants contre les tentatives de phishing, car le contenu divulgué peut inclure des données privées bien qu’il soit généré par l’IA.
Il existe des millions d’applications sur le Google Play Store, mais toutes ne sont pas sûres à utiliser. Les chercheurs en sécurité ont récemment identifié plusieurs applications contenant de graves failles de sécurité.
La première application en question
Selon un contributeur de Forbes, une application apparemment inoffensive appelée Video AI Art Generator & Maker par le développeur Codeway, qui a été installée près d’un demi-million de fois, a divulgué toutes les images et vidéos de ses utilisateurs. Plus de 12 To de données, dont 1,5 million d’images et près de 400 000 vidéos, étaient disponibles gratuitement sur Internet.
L’incident n’était pas malveillant, mais dû à une erreur de configuration dans Google Cloud. Cela permettait à quiconque d’accéder aux données stockées sans avoir à s’identifier au préalable. Pour les utilisateurs de l’application, ce fut un désastre.
L’application n’est plus disponible sur le Google Play Store, car Google a répondu rapidement aux plaintes des utilisateurs et l’a supprimée. Il était répertorié depuis juin 2023 et était utilisé pour générer des images et des vidéos rapidement et facilement avec l’IA. Les images divulguées ont toutes été créées à l’aide de l’application, mais contenaient peut-être du contenu privé.
Ce n’était pas la seule fuite
Une autre application du même développeur, appelée IDMerit et utilisée pour la vérification d’identité, présentait une faille de sécurité tout aussi grave. Cependant, celle-ci n’a pas entraîné de fuite de données d’image, mais a plutôt exposé des informations personnelles sensibles, notamment :
- Noms complets
- Adresses personnelles
- Codes postaux
- Dates de naissance
- Numéros de carte d’identité
- Numéros de téléphone
- Genre
- Adresses e-mail
- Autres métadonnées
Toutes ces informations pourraient être liées à des individus aux États-Unis et dans 25 autres pays, dont l’Allemagne, la France, la Chine et le Brésil. Des données personnelles sensibles comme celles-ci peuvent être utilisées par des attaquants pour lancer des attaques de phishing ciblées et/ou voler des identités.
Si une application du développeur Codeway est installée sur votre appareil, vous devez la désinstaller immédiatement. Vérifiez également tous les messages ou e-mails entrants pour détecter tout signe de phishing et ignorez toutes ces demandes suspectes.
Comment se protéger
Lorsque vous installez de nouvelles applications, vous devez toujours vérifier si elles proviennent d’une source fiable. Bien que Google vérifie toutes les applications proposées sur le Play Store, il ne peut pas garantir qu’elles soient sécurisées à 100 %. Cela relève toujours de la responsabilité des développeurs.
Il est donc préférable de vérifier combien d’applications le fournisseur a déjà publiées et si elles ont un historique fiable. Ne vous laissez pas tenter par le battage médiatique ou les tendances, telles que les applications basées sur l’IA. N’installez pas d’applications gratuites qui n’ont pas été suffisamment testées.
Faites également attention aux autorisations de l’appareil demandées par les applications. Différents labels d’approbation, comme le badge « Développeur vérifié » ou ce symbole pour les applications VPN indiquant qu’une application a été suffisamment testée.
