Blind révèle des conversations des employés de la Silicon Valley
Blind est un réseau social anonyme qui permet aux employés d’exprimer leurs frustrations sur leur lieu de travail. Il permet également aux travailleurs de partager des problèmes plus sérieux tels qu’une conduite inappropriée, un acte répréhensible ou un traitement injuste des employés. Or, une brèche dans la sécurité a permis à quiconque savait où regarder d’accéder aux informations de compte des membres lorsqu’il a accidentellement laissé l’un de ses serveurs de base de données exposés sans mot de passe. Les utilisateurs craignent maintenant que leurs identités et leurs messages exposés puissent entraîner de graves répercussions s’ils sont révélés à leurs employeurs.
Fuite chez Uber
La société sud-coréenne a lancé Blind sur le marché américain dès 2015, obtenant un succès rapide alors qu’il devenait populaire parmi les employés de grandes entreprises technologiques telles qu’Apple, Facebook, Google, Microsoft, Twitter, et Uber. Blind a également été un succès financier, levant 10 millions d’euros l’année dernière et 6 millions d’euros l’année précédente. Cependant, la plupart des gens ont découvert l’application lorsqu’elle a été utilisée pour révéler le harcèlement sexuel chez Uber. Cela a conduit Uber à bloquer l’application sur son réseau d’entreprise. Mossab H., un expert en sécurité, a découvert la faille dans le backend du serveur sur les versions coréenne et américaine de l’appli et en a informé Blind. Dans un e-mail adressé à TechCrunch, le dirigeant de Blind, Kyum Kim, a déclaré que la faille n’impactait que les utilisateurs qui se sont inscrits ou connectés entre le 1er novembre et le 19 décembre et que » l’exposition concerne un seul serveur, un parmi de nombreux serveurs sur notre plateforme. » Le réseau social n’a fermé le serveur que lorsque TechCrunch a fait un suivi par courriel une semaine plus tard, après quoi il a également commencé à envoyer des courriels à ses utilisateurs pour les informer du snafu de sécurité. Le courriel disait, en partie : » Lors du développement d’un outil interne visant à améliorer notre service pour nos utilisateurs, nous avons pris connaissance d’une erreur qui a exposé les données des utilisateurs. » Kim a déclaré qu’il n’y avait aucune preuve que des données avaient été consultées ou utilisées à mauvais escient, mais il n’a pas mentionné comment l’entreprise l’avait su. L’entreprise n’a pas non plus précisé si elle allait s’adresser aux régulateurs des États américains. Le directeur général de Blind, Sunguk Moon, n’a pas reconnu le serveur affecté.
Les risques avérés
La brèche aurait potentiellement pu permettre à des acteurs malveillants d’accéder au flux en temps réel des identifiants, des messages et des commentaires des utilisateurs. La base de données a aussi exposé des messages privés non chiffrés échangés entre les utilisateurs, bien qu’elle n’ait pas exposé les adresses électroniques associées des utilisateurs. Blind affirme que les adresses e-mail ne sont pas stockées sur les serveurs et qu’elles ne sont utilisées que pour confirmer l’emploi et donner aux utilisateurs l’accès au forum de discussion de leur entreprise. Tandis que TechCrunch n’a pas trouvé d’adresses e-mail exposées, il a déclaré que la fuite a révélé les identifiants uniques des membres des utilisateurs. Il reste beaucoup de questions sans réponse, mais actuellement, la réponse de Blind est loin d’être rassurante. Seul le temps nous dira ce qu’il adviendra de Blind et de ses utilisateurs une fois que la poussière sera retombée.
