Trump Mobile, une société de téléphonie mobile associée au président Donald Trump, est sous le feu des critiques après que les informations de ses clients ont été exposées en ligne en raison d’une faille de sécurité majeure associée à un fournisseur de plateforme tiers.
Le problème a été révélé mardi après que les YouTubeurs Steven Findeisen et Charles Christopher White Jr ont publié des vidéos sur la vulnérabilité, affirmant que le chercheur les avait contactés après avoir découvert les détails des clients liés aux commandes du smartphone Gold T1 de la société, disponibles en ligne.
Findeisen a déclaré qu’il avait décidé de le rendre public après n’avoir pas eu de réponse de Trump Mobile. “Il y a un intérêt public à le faire savoir aux gens : ne commandez pas sur TrumpMobile.com à moins que vous ne soyez prêt à voir vos informations divulguées. C’est fondamentalement aussi mauvais que ça”, a-t-il déclaré.
Un porte-parole de Trump Mobile a confirmé l’incident au Daily Mail en déclarant : « Nous sommes au courant de récents rapports publics concernant l’exposition potentielle d’informations limitées sur les clients associées à un fournisseur de plateforme tiers qui prend en charge certaines opérations de Trump Mobile. »
Le porte-parole a déclaré que les informations exposées semblaient inclure des noms, des adresses e-mail, des adresses postales, des numéros de téléphone et des identifiants de commande, ce qui suggère que les pirates pourraient avoir accédé au système d’un fournisseur externe plutôt que de pénétrer directement dans le propre réseau de Trump Mobile.
“Il ne semble pas inclure les informations sur la carte de paiement Trump Mobile, les coordonnées bancaires, les numéros de sécurité sociale, les journaux d’appels, les messages texte ou d’autres données financières hautement sensibles”, a ajouté le porte-parole.
L’incident survient quelques jours seulement après que Trump Mobile a annoncé que son téléphone T1 doré sur le thème MAGA était enfin expédié aux clients après des mois de retards.
La semaine dernière, la société a déclaré que son smartphone à 499 $ était « arrivé » et qu’environ 590 000 clients ayant payé un dépôt de 100 $ commenceraient à recevoir des mises à jour sur l’expédition.
Les YouTubers ont affirmé que TrumpMobile.com contenait un bug logiciel exploitable qui pourrait divulguer des données, notamment des e-mails, des adresses physiques et des noms complets.
“Par beaucoup de prudence, notre fournisseur de plateforme tiers a mis en place des garanties supplémentaires et des mesures de surveillance renforcées tandis que l’affaire reste sous enquête avec l’aide de professionnels tiers en cybersécurité”, a déclaré un porte-parole de Trump Mobile.
“Les clients doivent être attentifs aux e-mails, messages texte ou appels téléphoniques suspects liés aux commandes ou aux comptes Trump Mobile. Trump Mobile ne demandera pas aux clients de fournir des informations de paiement, des mots de passe ou d’autres informations sensibles par le biais de communications non sollicitées.”
Findeisen, qui compte 1,5 million d’abonnés, a déclaré dans la vidéo qu’elle faisait partie des clients dont les informations personnelles ont été exposées dans la fuite.
“Tout ce qui n’a pas de numéro de carte de crédit est divulgué grâce à un exploit de sécurité sur lequel je n’entrerai pas dans les détails, mais ce n’est pas compliqué”, a-t-il déclaré.
“On m’a expliqué exactement comment ça fonctionnait. Je ne suis pas un expert en informatique.”
Findeisen a déclaré avoir été contacté ce week-end par un individu qui prétendait avoir accès aux données des utilisateurs de Trump Mobile et a averti les utilisateurs que leurs informations personnelles auraient été exposées en ligne.
Selon le YouTuber, cette personne a partagé des détails liés à son compte, notamment des informations de courrier et des enregistrements de commandes, ainsi que des données partiellement expurgées appartenant à d’autres clients, pour montrer que la violation était légitime.
Findeisen a déclaré que l’individu semblait plus intéressé par la correction de la vulnérabilité que par la divulgation publique de l’utilisateur, et a affirmé qu’il avait déjà tenté d’alerter Trump Mobile en vain.
Bien qu’aucune information de paiement ne semble avoir été compromise, la vulnérabilité aurait permis d’accéder à des données de commande internes qui pourraient révéler combien de personnes se sont réellement inscrites à Trump Mobile.
Après avoir pris connaissance du problème, Findeisen a déclaré avoir contacté son collègue YouTuber White, qui a également commandé le téléphone portable de Trump et aurait divulgué ses propres informations. White compte 18 millions d’abonnés.
Findeisen a averti les téléspectateurs de ne pas commander sur le site Web de l’entreprise, affirmant que le problème de sécurité était suffisamment grave pour révéler les informations des clients.
Il a également fait part de ses inquiétudes quant au type de données qu’un opérateur de téléphonie mobile pourrait potentiellement collecter, notamment l’activité de navigation, les journaux d’appels et les informations de localisation.
“Vous savez, mon adresse est publiée sur (TrumpMobile.com) et elle est envoyée à tous ceux qui la connaissent. exploitation de la sécurité”, affirme Findeisen.
Le téléphone fait partie de Trump Mobile, une entreprise lancée l’année dernière par la Trump Organization dans le cadre d’un accord de licence de marque et promue par Donald Trump Jr. et Eric Trump.
Son forfait mensuel 5G coûte 47,45 $, un clin d’œil évident au fait que Trump est le 45e et le 47e président.
“Les téléphones précommandés commencent à être expédiés aux clients cette semaine”, a déclaré la semaine dernière Pat O’Brien, PDG de Trump Mobile, ajoutant que le retard était dû aux contrôles de qualité et au processus compliqué de mise sur le marché des téléphones.
Mais l’annonce est intervenue seulement après un réexamen des termes et conditions sur le site Web de Trump Mobile, qui ont été discrètement mis à jour le mois dernier pour indiquer que le dépôt d’un dépôt “ne garantit pas” que l’appareil sera un jour fabriqué ou disponible à l’achat.
Au lieu de cela, la société a déclaré que les dépôts – qui totaliseraient 59 millions de dollars – ne représentaient qu’une « opportunité conditionnelle » d’acheter le téléphone si Trump Mobile décidait finalement de le vendre.
La société avait initialement prévu de lancer l’appareil en août dernier.
Près de 10 mois plus tard, la société a annoncé cette semaine que les téléphones commenceraient à être expédiés – même si les observateurs ont rapidement remarqué que la société avait désactivé les commentaires sous la publication.
Cette décision visait peut-être à limiter les réactions négatives croissantes pendant les mois de silence entourant le déploiement.
