CloudSEK : 50 % des applications utilisent des clés API de trois services de marketing par e-mail

La société de cybersécurité IA CloudSEK a récemment enquêté sur 600 applications Android populaires sur Google Play et a découvert qu'environ 50 % des applications utilisaient des clés API des trois applications de services de marketing par e-mail les plus populaires.

Le nom complet de l'API est l'interface de programmation d'application, qui permet aux applications et aux services de fonctionner de manière transparente avec des sites Web tiers en arrière-plan.

Les API sont les types d'applications que les entreprises et services en ligne utilisent pour collecter les informations de contact des clients et gérer les campagnes de marketing sortant, ce qui signifie qu'un grand nombre de données vulnérables sont transmises via des clés API.

CloudSEK a étudié 600 applications Google Play à l'aide de son propre moteur de sécurité BeVigil et a découvert qu'environ la moitié des applications utilisaient des clés API de Mailchimp, Sendgrid et Mailgun. Cependant, il existe des failles dans les clés API de ces trois sociétés, qui peuvent transmettre des données sensibles à des tiers malveillants, affectant ainsi la sécurité de l'utilisateur et devenant la cible de cyber-escrocs.

Les applications concernées ont été téléchargées plus de 54 millions de fois, chacune d'entre elles exposant désormais potentiellement tous les détails via des clés API. Selon CloudSek, la vulnérabilité aurait pu permettre à des acteurs malveillants de lire des e-mails, de voler des données clients, d'accéder à des listes de diffusion et même de mener des campagnes de marketing par e-mail au nom des entreprises concernées. Ce dernier signifie que les utilisateurs exposés de cette manière seront particulièrement vulnérables aux campagnes de phishing sophistiquées qui seront extrêmement difficiles à détecter.

De la maison informatique