L’app de fitness PumpUp laisse les données de ses utilisateurs exposées sur le serveur

Alors que MyFitnessPal faisait face il y a quelques mois à une importante brèche de sécurité qui a atteint près de 150 millions d’utilisateurs, une nouvelle app de fitness semble avoir des problèmes similaires. PumpUp, l’app en question, et surtout ses développeurs, ont en effet laissé les informations de près de 6 millions d’utilisateurs exposées en ligne. Les serveurs back-end hébergés sur le cloud Amazon n’ont apparemment pas été protégées par un mot de passe pendant une période à la durée encore inconnue, mais suffisamment conséquente pour que les données des utilisateurs, notamment les connexions et les messages échangés, aient pu être accessibles.

D’après ZDnet, le serveur est maintenant protégé, mais le protocole utilisé permettrait encore à ceux qui en ont les compétences d’observer les échanges de données entre utilisateurs. Parmi les informations concernées, on trouve les adresses mail, les lieux enregistrés et les données concernant les exercices effectués, mais aussi la taille, le poids, les problèmes de santé, médicaments et traitements en cours, ou encore la quantité de cigarettes ou d’alcool consommés. Leurs adresses IP ont également été compromises, et il n’est clairement pas impossible que les données de cartes bleues aient pu être récupérées.