De populaire Android video-chatapp OyeTalk heeft gesprekken en gegevens van gebruikers gelekt, zo hebben beveiligingsonderzoekers ontdekt. OyeTalk omschrijft zichzelf als een "sociaal audioplatform" waar gebruikers in onder andere allerlei chatrooms met elkaar kunnen communiceren. De app is volgens de Google Play Store meer dan vijf miljoen keer gedownload.

Onderzoekers van Cybernews ontdekten dat een in de cloud gehoste database van OyeTalk voor iedereen op internet zonder wachtwoord toegankelijk is. De database bevat onversleutelde chatgesprekken van gebruikers, gebruikersnamen en International Mobile Equipment Identity (IMEI) nummers. "Als de gelekte data niet was geback-upt en een aanvaller had besloten om de dataset te verwijderen, was het mogelijk dat privéberichten van gebruikers permanent verloren waren gegaan", aldus Cybernews.

Verder bleek dat de ontwikkelaars hardcoded 'secrets' in de app hadden toegevoegd, waaronder een Google API-key en links naar Google-buckets. De app-ontwikkelaars werden over het datalek geïnformeerd maar de toegang tot de database werd niet dichtgezet. Beveiligingsmaatregelen van Google Firebase, waar de database wordt gehost, zouden het downloaden inmiddels tegengaan. Volgens Cybernews komt dit doordat de dataset te groot is geworden. Verder bleek dat de onbeveiligde database eerder al door andere partijen is gevonden.