Dirigée par Noam Rotem et Ran Locar, l’équipe de recherche de vpnMentor a directement contacté Kinomap pour leur faire part des résultats de l’enquête. vpnMentor a contacté la Commission Nationale de l’Informatique et des Libertés (CNIL), le régulateur indépendant de la confidentialité des données en France, et cette faille de sécurité a désormais été fixée.

La quantité considérable de données exposées par Kinomap semble avoir affecté l’ensemble de la base de données utilisateur de l’entreprise, y compris de nombreuses formes de données personnelles identifiables (DPI). Si elles tombaient entre de mauvaises mains, ces informations pourraient être utilisées pour cibler des individus dans le cadre d’une série de fraudes et d’attaques en ligne.

Les données utilisateur DPI exposées dans la base de données de Kinomap comprenaient les informations suivantes :

• Noms complets
• Pays d’origine
• Adresses e-mail
• Noms d’utilisateur pour les comptes Kinomap
• Sexe
• Relevés de temps pour les exercices
• Date d’inscription à Kinomap

De nombreuses saisies DPI contenaient des liens vers des profils utilisateurs Kinomap et des informations sur l’activité de leur compte. À l’instar des comptes de réseaux sociaux, les profils Kinomap révèlent de nombreuses informations personnelles et comportementales.

Un hacker mal intentionné pourrait utiliser ces informations pour élaborer facilement des opérations frauduleuses très efficaces et dommageables ou d’autres formes d’attaques en ligne, notamment en prenant le contrôle des comptes utilisateurs Kinomap. Les hackers utilisent les informations personnelles et comportementales pour lancer des campagnes de phishing par e-mail efficaces. Ces campagnes visent à inciter les utilisateurs non avertis à renseigner les informations de leur carte de crédit ou d’autres informations financières, à cliquer sur un lien qui installe des logiciels malveillants sur les dispositifs ou à fournir des informations DPI supplémentaires pour cibler les utilisateurs dans le cadre d’attaques non liées.

Étant donné que les utilisateurs de Kinomap téléchargent l’application sur un téléphone ou une tablette, les conséquences de l’installation d’un logiciel malveillant peuvent être dévastatrices, par exemple l’accès à d’autres applications, contacts et informations personnelles.

vpnMentor a découvert cette vulnérabilité dans une base de données de Kinomap lors d’un projet de cartographie du Web. Les chercheurs de vpnMentor ont recours au balayage de ports pour examiner des blocs IP particuliers et tester différents systèmes pour détecter des faiblesses ou vulnérabilités. Ils analysent chaque faiblesse pour identifier d’éventuelles fuites de données. Les chercheurs de vpnMentor ont réussi à accéder aux données de Kinomap car elles étaient dépourvues de toute mesure de sécurité ou chiffrement.