Whisper, une appli mobile de partage de secrets anonymes qui s’est fait connaître il y a plus d’une demi-décennie, a exposé par inadvertance des informations sensibles sur ses utilisateurs pendant des années via une base de données publique en ligne, selon un nouveau rapport du Washington Post.
L’application, bien que loin d’être aussi populaire qu’elle l’était dans les quelques années qui ont suivi sa sortie en 2012, est toujours utilisée par plus de 30 millions de personnes par mois, dont certaines ont moins de 18 ans et partagent des confessions sur des rencontres sexuelles d’adolescents et des informations liées à l’orientation sexuelle. Selon le Post, qui a pu activement interroger la base de données en temps réel avant que Whisper ne la retire, une recherche d’utilisateurs se déclarant âgés de 15 ans a donné jusqu’à 1,3 million de résultats.
La base de données ne comportait pas de noms réels, car Whisper a été conçu pour protéger l’identité des utilisateurs et leur permettre de partager des secrets de manière anonyme. Mais les enregistrements laissés non protégés en ligne comprenaient des informations telles que l’âge, la localisation, l’ethnicité, la résidence, le surnom dans l’application et l’appartenance à l’un des groupes de l’application.
Les enregistrements ne comprenaient pas seulement les utilisateurs actuels, non plus. Selon les chercheurs en sécurité Matthew Porter et Dan Ehrlich, qui dirigent la société Twelve Security, la base de données comprenait près de 900 millions d’enregistrements d’utilisateurs depuis le lancement de l’appli, il y a plus de huit ans, jusqu’à aujourd’hui, rapporte The Post. Porter et Ehrlich ont déclaré avoir informé les autorités fédérales de la situation, ainsi que Whisper, avant de contacter le Washington Post. Ce n’est que lorsque le Post a contacté MediaLab, la société mère de Whisper, que la base de données a été rendue privée.
« Cela a beaucoup violé les normes sociétales et éthiques que nous avons autour de la protection des enfants en ligne », a déclaré Ehrlich au Post, ajoutant que les actions de MediaLab ici ont été « grossièrement négligentes ».
MediaLab conteste les conclusions des chercheurs, affirmant que les informations étaient censées être publiques et fournies par les utilisateurs eux-mêmes comme une fonctionnalité de l’application. En particulier, le partage de la localisation a été conçu pour ajouter de l’authenticité aux posts dans lesquels l’emplacement ou le statut de quelqu’un, comme un militaire actif, était pertinent.
Toutefois, MediaLab a déclaré au Post que la base de données n’était « pas conçue pour être interrogée directement », et elle a retiré les informations en conséquence. L’entreprise s’est également retrouvée dans l’eau chaude par le passé pour sa gestion des données des utilisateurs, comme en 2014, lorsqu’il a été révélé que l’entreprise recueillait des données de localisation sur les utilisateurs sans leur consentement et même s’ils l’avaient explicitement refusé. Selon le Post, la base de données exposée illustre le fait que MediaLab a continué à collecter les données de localisation des utilisateurs même après que la controverse ait éclaté.