Un bogue dans l’application de campagne officielle de Joe Biden a peut-être révélé les informations personnelles de millions d’Américains, selon le chercheur en sécurité App Analyst. L’une des fonctionnalités de l’application Vote Joe permet aux utilisateurs de synchroniser la liste de contacts de leur téléphone avec le logiciel pour voir si leurs amis et leur famille se sont inscrits pour voter lors de la prochaine élection présidentielle. Lorsqu’elle trouve une correspondance, l’application affiche le nom de la personne, son âge et son anniversaire approximatifs, ainsi qu’une liste des élections récentes auxquelles elle a voté. 

Les données sont fournies par TargetSmart, une entreprise qui prétend disposer d’informations sur environ 191 millions d’électeurs américains. L’idée ici est que les supporters de Biden utiliseront cette fonctionnalité pour tirer parti de leur réseau existant pour soutenir leur candidat. Cependant, l’analyste d’application a constaté qu’ils pouvaient utiliser cette même fonctionnalité pour que le logiciel partage les informations personnelles d’une personne en créant simplement un contact dans son téléphone avec le nom complet de cette personne. 

Bien que quelqu’un puisse obtenir certaines de ces mêmes informations par d’autres moyens, l’application Vote Joe a banalisé son obtention (entre autres problèmes, le logiciel n’oblige pas les utilisateurs à vérifier leur adresse e-mail). De plus, l’analyste d’applications a constaté que Vote Joe récupère plus de données qu’il n’en affiche via son interface utilisateur, y compris ce qui semble être une supposition de la part de TargetSmart si une personne a voté pour le candidat démocrate ou républicain à la présidentielle lors d’une élection particulière.  

La campagne Biden dit avoir corrigé le bogue vendredi lors du déploiement d’une mise à jour de l’application. « Nous avons été informés de la manière dont notre développeur d’applications tiers fournissait des champs d’informations supplémentaires à partir de données disponibles dans le commerce qui n’étaient pas nécessaires », a déclaré un porte-parole de la campagne. TechCrunch. «Nous avons travaillé rapidement avec notre fournisseur pour résoudre le problème et supprimer les informations. Nous nous engageons à protéger la confidentialité de notre personnel, de nos bénévoles et de nos supporters et travaillerons toujours avec nos fournisseurs pour ce faire. Le site Web de la campagne révèle notamment l’embauche d’un analyste en cybersécurité, en plus d’un responsable de la cybersécurité.

Lire aussi  Le bureau debout Jarvis de Fully est bon, mais son service client est encore meilleur

Comme TechCrunch remarque, ce n’est pas la première fois que des données de TargetSmart peuvent fuir en ligne. En 2017, une mémoire cache de presque tous les électeurs inscrits en Alaska, totalisant environ 600000 personnes, a été révélée par une mauvaise configuration du serveur par une entreprise tierce qui avait accès aux données. Ces informations sont quelque chose que les hackers parrainés par l’État pourraient utiliser pour influencer une élection. Ce n’est pas non plus une menace hypothétique. Microsoft a récemment averti que la Russie, la Chine et l’Iran tentaient activement d’interférer dans les élections de 2020. La société a déclaré que la «majorité» des attaques contre les campagnes Joe Biden et Donald Trump avaient échoué, mais cela n’a pas empêché ces groupes de poursuivre leurs efforts.