Follow

Y’a une app qui m’a chatouillé. Du coup, prévoyez le 🍿 d’ici ce soir je pense, petit audit gratos en vue… cc @ObvyApp
Et @CNIL, tu peux déjà préparer ton dossier de plainte, de ce que j’ai vu, ils vont y avoir le droit 😊

On est parti. Je rappelle que l’application en question affiche fièrement « conforme RGPD » sur son site Internet.
Comment dire…

Je viens de lancer l’application… Comment dire aussi…
Modèle du téléphone, advertising ID (qui est une données *TRÈS* sensible), taille de mon écran, SDK utilisé…
Non conformité RGPD, vu que pas de consentement avant d’envoyer tout ça à branch.io…

Un petit 2nd dans la foulée. Je rappelle que je n’ai toujours pas vu la page d’accueil de l’application hein. Je suis juste au démarrage… 😱

Je n’ai même pas touché à un seul poil du service de @ObvyApp que j’ai déjà toutes mes données persos dans la nature chez branch.io, dont le advertising_id qui est une donnée TRÈS sensible donc, qui identifie précisément votre téléphone de manière unique.
Google lui-même est en train de faire gaffe à ce numéro pour qu’il soit propre à une application et non plus à un téléphone… 😱

Oh, coucou Google Firebase ! Encore de la donnée à partir… Mon fuseau horaire, mon identifiant d’application…

Zut alors, trompé de bouton et j’ai fermé l’application… Du coup, coucou branch.io une nouvelle fois… 😱

Je rappelle que je n’ai toujours pas de compte chez eux, ni passé aucun consentement, ni lu aucune CGU. Nada.
Juste ouvert l’application…

J’vais pas vous les faire dans le détail, mais ça passe juste sa putain de vie à causer avec des tiers…

Pour 1 appel à leur service, 5 appels tiers… 😨

Par contre, à noter que la config TLS est soignée. C’est déjà ça, et ça c’est suffisamment rare pour être signalé !

On touche à la sécu… Je suppose que cet API me permettrait de lister les téléphones ayant un compte chez eux ? 🤔 😂
« Sécurisé » qu’ils disent ? 🍿

« Veuillez saisir une adresse e-mail valide »
Mais elle EST valide bordel !!!
Entre les + pas accepté et certainement la regexp qui ne supporte pas plusieurs « . » dans la partie domaine… 😱

« Définissez un code pour protéger l’application »
Du coup, vous m’expliquez pourquoi vous l’envoyez en clair sur le réseau ? 🤔

Sur une hauteur d’écran, le contenu principal est en vert. Le reste c’est du viol de vie privée…

Show more

@aeris mais elle est censée faire quoi cette app sinon? ^^
(Et aussi c'est quoi ton mitm)

@aeris Wtah the fukc ? 0o
C'est en plain text ? La connexion n'est pas chiffrée ?

@aeris
Bizarre, si on met "obvy" dans le champ value avec field=email, on reçoit tout le temps isExist: true

@Shaft @aeris au delà du paiement, elle permet aux particulier de vendre a distance. Il demande au vendeur de prendre en photo le colis a l'envoi et a l'acheteur de photographier le colis a la réception afin d'avoir des preuves en cas de litiges. 😉

@aeris
C'est quoi l'outil qui te permet de faire tout ça ?
Je suis une Quille en Android. C'est presque marqué sur mon front... x)

@lpenou @aeris N'insulte pas la ville. Il n'y a pas que des bras cassés.

@aeris ha masi y'a du Crédit Mutuel Arkéa dedans aussi hein !!! narf donc...

@aeris sinon tu as www.paycar.fr (racheté par le bon coin) dans le même genre (mais pour les autos (pour le moment ?)

@aeris haaaaa un ami à moi bosse dans cette startup (en tant que dev en alternance) il avait déjà fait remonté deux trois trucs au responsable mais sans réelle suite. Je transfert. En espérant que cette analyse fera bouger les choses. 😁

@aeris
De mon côté j'ai installé pihole hier soir sur un pi zero w ... Et je rends compte que ma TV Sony même éteinte envoie des tas de données a #netflix et #sony 🤦🏽‍♂️🤦🏽‍♂️🤦🏽‍♂️

Sign in to participate in the conversation
Mastodon

PARCE QUE C’EST MON INSTANCE !