Hapn : Une Fuite de Données Expose des Milliers de Clients
Une faille de sécurité chez Hapn, entreprise spécialisée dans le tracking GPS, a conduit à l'exposition des noms de milliers de ses clients. Malgré l'alerte donnée fin novembre par un chercheur en sécurité, le problème n'a toujours pas été corrigé à ce jour.
Hapn : le spécialiste du tracking GPS pris en défaut
Hapn, anciennement connu sous le nom de Spytec, permet à ses utilisateurs de suivre en temps réel la position de trackers GPS connectés à Internet. Ses appareils sont notamment vendus au grand public pour pister des objets de valeur ou "des proches". L'entreprise revendique plus de 460 000 appareils suivis, dont des clients Fortune 500.
Mais fin novembre, un chercheur en sécurité a découvert qu'un bug sur le site web d'Hapn exposait les noms et affiliations professionnelles de milliers de clients. N'importe qui muni d'un compte Hapn pouvait accéder à ces données sensibles simplement en inspectant le code source de la page.
Plus de 8600 trackers concernés
Selon les informations divulguées, cette faille toucherait les données de plus de 8600 trackers GPS. Sont visibles les numéros IMEI des cartes SIM de chaque appareil, identifiant de façon unique les trackers. Si les positions GPS ne semblent pas compromises, les enregistrements incluent les noms et entreprises des détenteurs ou personnes tracées pour des milliers d'appareils.
Contactés par TechCrunch qui a pu constater le problème, plusieurs clients ont confirmé l'authenticité de leurs informations personnelles exposées. Certains employeurs cités comme utilisant les trackers Hapn apparaissent aussi dans la base de données.
Hapn reste muet malgré l'alerte
Fait troublant, Hapn n'a donné suite à aucune des tentatives de contact de TechCrunch, que ce soit par email ou via les coordonnées officielles de l'entreprise. Les noms de clients restent accessibles publiquement à l'heure où nous écrivons ces lignes.
Un message envoyé à l'adresse email de leur politique de confidentialité a même été retourné avec une erreur indiquant que l'adresse n'existe pas.
- TechCrunch
Le chercheur à l'origine de la découverte s'est penché sur Hapn après avoir lu des avis en ligne de clients se vantant d'utiliser les trackers pour surveiller leur conjoint à leur insu. Un comble pour une société censée protéger les données de localisation.
Quelles conséquences pour les personnes tracées ?
Au delà des clients d'Hapn dont l'identité est exposée, ce sont surtout les personnes tracées à leur insu qui sont les plus à plaindre. La fuite contient en effet de nombreux noms associés à des trackers sans affiliation professionnelle. Impossible de savoir s'ils ont consenti à être ainsi pistés.
Cette affaire soulève une fois de plus les questions éthiques autour de ces technologies de tracking grand public. Entre des promesses marketing rassurantes et une sécurité des données souvent défaillante, difficile de faire confiance à ces acteurs qui s'invitent dans notre intimité.
