Les données utilisateurs liées à l’application de suivi des calories Cal AI ont été exposées en ligne après qu’un acteur malveillant a affirmé avoir violé le service et publié un vaste ensemble de données contenant des informations sur ses utilisateurs.
La personne à l’origine de la présumée violation a publié un message sur un forum de cybercriminalité et a partagé huit fichiers contenant environ 14,59 Go de données. La publication affirmait que les fichiers provenaient de Cal AI, une application de suivi des calories basée sur l’intelligence artificielle qui analyse des photos alimentaires pour estimer les informations nutritionnelles.
Selon l’acteur de la malveillance, l’ensemble de données contient des informations liées à plus de 3 millions d’utilisateurs. Les documents exposés incluraient prétendument des adresses e-mail et d’autres informations personnelles liées aux comptes utilisateurs.
Des chercheurs en sécurité ayant examiné des échantillons des fichiers divulgués ont déclaré que les informations semblaient contenir des données liées aux comptes et profils. Les documents incluent apparemment des détails tels que le poids, la taille, le sexe et, dans certains cas, les dates de naissance. Le jeu de données contient également des informations liées aux abonnements et des identifiants de transaction associés aux services payants.
Les données supplémentaires décrites dans les fichiers incluent des informations de profil utilisateur telles que les noms d’utilisateur, les noms complets et les réalisations de l’application. D’autres enregistrements conteraient apparemment des paramètres d’application, des informations de groupe et des journaux limités liés à l’activité de suivi des repas sur la plateforme.
Les chercheurs ont indiqué que le jeu de données exposé comprend des millions d’entrées réparties sur plusieurs tableaux. Par exemple, un fichier contiendrait plus de 3,5 millions d’enregistrements liés à des données de poids utilisateur, tandis qu’un autre contient plus de 3 millions d’entrées avec des informations d’abonnement et d’email.
L’acteur malveillant a affirmé que la violation était possible en raison d’une base de données backend mal sécurisée. Selon le post, l’attaquant a accédé à un backend Google Firebase qui aurait permis de lire certaines tables de bases de données sans authentification.
L’attaquant a également déclaré que l’application ne dépend pas de mots de passe traditionnels pour la connexion. Au lieu de cela, le service utiliserait apparemment un système de code PIN numérique à quatre chiffres pour l’authentification. Le post alléguait que le point de terminaison de connexion n’avait pas mis en place de limitation de vitesse ou de protections CAPTCHA.
Les chercheurs ont indiqué que les informations de contact exposées, combinées à d’autres informations personnelles, pourraient permettre aux attaquants de créer des profils détaillés des utilisateurs et de mener des attaques ciblées d’ingénierie sociale.
La publication de données semble également inclure des informations liées aux utilisateurs plus jeunes. Les chercheurs ayant examiné les fichiers échantillons ont rapporté avoir trouvé des dossiers appartenant à un individu né en 2014, soulevant des inquiétudes quant à la présence de données sur les enfants dans l’ensemble de données.
La violation n’a pas été officiellement confirmée par la société. Les chercheurs ont déclaré avoir contacté les développeurs derrière Cal AI pour obtenir un commentaire sur ces affirmations, mais n’avaient pas reçu de réponse au moment du rapport.
Cal AI est une application de suivi des calories basée sur des photos qui a gagné en popularité grâce à des promotions auprès d’influenceurs et des soutiens sur les réseaux sociaux. Le service a récemment été acquis par la plateforme de fitness MyFitnessPal et a été téléchargé plus de 15 millions de fois.