Un mauvais paramétrage Google Drive a exposé pendant plus de six ans les données personnelles de près d’un million d’utilisateurs des applications de la société Ateam. Une mauvaise publicité pour l’entreprise, mais heureusement sans grande conséquence pour les personnes concernées.
L’entreprise japonaise Ateam, qui est spécialisée dans la création de jeux et de contenus mobiles, a annoncé que des informations personnelles d’utilisateurs avaient potentiellement été exposées sur Internet entre mars 2017 et novembre 2023. Le nombre de comptes compromis est légèrement inférieur à un million (935 779 pour être précis ; essentiellement des clients, mais aussi quelques partenaires et candidats).
De fait, la grosse majorité provient d’Ateam Entertainment, la filiale par laquelle sont distribués des jeux Android et iOS tels que War of Legions et Dark Summoner, ou des applications comme Good Night’s Sleep Alarm sur le Google Play Store et l’App Store. Comme le révèlent les données issues du tableau ci-dessous, Ateam Entertainment implique les données de 736 081 personnes.
À lire > Windows et Linux impuissants, des millions d’ordinateurs vulnérables à cette faille de sécurité
Des noms, prénoms, adresses électroniques, exposées pendant 6 ans et demi
Les informations personnelles susceptibles d’avoir été révélées comprennent les noms et prénoms, les adresses électroniques, numéros de téléphone, numéros client et numéros des terminaux – avec quelques disparités selon la provenance.
La découverte de cette faille date du 21 novembre 2023. La société a détecté des fichiers à risque à l’occasion d’un rapport concernant un nouveau produit de sécurité. Elle a publié un premier avertissement le 7 décembre dernier ; l’enquête est désormais terminée, Ateam fait donc part de ses conclusions.
Concrètement, Ateam a découvert que des informations personnelles contenues dans des fichiers situés sur le service en nuage Google Drive utilisé par le groupe pouvaient être consultées par toute personne connaissant le lien URL exact. En cause : les autorisations dans le service en nuage Google Drive avaient été incorrectement réglées sur « Toute personne sur Internet avec le lien peut consulter ».
Ainsi, Ateam rapporte que « les informations relatives aux partenaires commerciaux, aux clients et aux employés, telles que les numéros d’identification des appareils, les numéros de gestion des clients, les adresses électroniques et les noms, ont été incluses dans les enregistrements consultables ». Toutefois, la société précise que « les informations personnelles sensibles ou susceptibles de causer des dommages matériels n’étaient pas incluses dans ces données ».
Les risques réels pour la sécurité sont donc peu élevés ; nous sommes loin de la faille critique affectant certains Windows 10 et 11 ou des QR codes pouvant renvoyer vers des malwares. En outre, ces risques supposeraient que les liens aient été exposés publiquement.
Les personnes concernées notifiées
Ateam écrit qu’à ce stade, il n’y a aucune preuve que de telles données « aient été utilisées sans autorisation ». L’entreprise demande néanmoins « aux personnes susceptibles d’être affectées de faire preuve de prudence à l’égard de toute demande suspecte ».
Depuis le 20 décembre, la société contacte par e-mail individuellement « les parties dont les informations personnelles ont pu être divulguées » ; la notification de cet incident a également été publiée sur chaque site web du groupe, qui invite tous ceux « préoccupés par la possibilité d’une fuite d’informations personnelles » à contacter le service client (aux adresses disponibles dans l’article source).
Naturellement, l’accès aux fichiers sur le service en nuage a maintenant été restreint et les fichiers en question ne peuvent plus être consultés par quiconque possède un lien.
