Le service de surveillance parentale TeenSafe fuit des milliers de mots de passe d'enfants

Un service conçu pour aider les parents à surveiller l’activité Internet de leurs enfants sur des appareils iPhone et Android a fuité des milliers de mots de passe d’utilisateurs, rapporte ZDNet. Le service, TeenSafe, prétend être une application de surveillance “sécurisée” pour iOS et Android conçue pour permettre aux parents de voir les conversations par message texte de leur enfant, de surveiller qui ils appellent, d’accéder à leur localisation et à leur historique de navigation, et plus encore. Il semble cependant que pour les appareils iOS, le service repose sur les parents fournissant les mots de passe Apple ID de leurs enfants, qui sont stockés sur les serveurs de l’entreprise, probablement afin d’accéder aux données iCloud.

Cependant, un chercheur en sécurité basé au Royaume-Uni, Robert Wiggins, a découvert la semaine dernière que TeenSafe avait en fait laissé un ou plusieurs de ses serveurs non protégés et accessibles par quiconque sans même exiger de mot de passe. ZDNet a alerté l’entreprise, qui a mis hors ligne les serveurs concernés, un porte-parole de TeenSafe déclarant : “Nous avons pris des mesures pour fermer l’un de nos serveurs au public et avons commencé à alerter les clients qui pourraient potentiellement être impactés.” Les serveurs en question stockaient des bases de données contenant les adresses e-mail des parents ainsi que l’Apple ID de leur enfant, le nom de l’appareil et le mot de passe en texte clair. Bien qu’aucun des enregistrements ne contienne de données personnelles telles que des photos, des messages ou des localisations, le mot de passe Apple ID suffirait à permettre à quelqu’un d’accéder aux données personnelles du compte iCloud de l’enfant et aux sauvegardes iCloud ; TeenSafe exige notamment que l’authentification à deux facteurs soit désactivée pour utiliser le service.

ZDNet note qu’avant que le serveur ne soit mis hors ligne, il contenait au moins 10 200 enregistrements de données clients des trois derniers mois, bien qu’il ajoute que certains étaient des doublons. ZDNet a contacté un échantillon d’une douzaine de parents dont les adresses e-mail étaient incluses dans les données divulguées et a confirmé que les informations — y compris l’adresse e-mail de leur enfant — étaient au moins récemment, sinon actuellement, exactes. TeenSafe prétend avoir plus d’un million de parents utilisant le service, et il n’est pas connu si d’autres serveurs exposés existent qui auraient pu contenir des données supplémentaires, ni pourquoi des données sensibles étaient stockées en texte clair.