Los datos personales de más de 100 millones de usuarios quedaron expuestos a través de una serie de configuraciones erróneas de servicios en la nube de terceros.
Dicha información incluía correos electrónicos, mensajes de chat, ubicación, contraseñas y fotos. El datos urge de un análisis de 23 aplicaciones para Android, elaborado por la empresa de seguridad Check Point Research.
“Servicios como el almacenamiento basado en la nube, las bases de datos en tiempo real, la analítica y otros, están a un solo clic de ser integrados en las aplicaciones. Sin embargo, a la hora de crear su configuración y su contenido, los desarrolladores suelen pasar por alto la ciberseguridad”, se destaca en el comunicado.
La falla a la hora de seguir buenas prácticas en materia de configuración puede generar grandes problemas de seguridad, según alertan los especialistas. Las bases de datos en tiempo real son las que permiten a los creadores de apps almacenar información en la nube, para así asegurarse de que se sincronizan en tiempo real con todos los clientes conectados. Este servicio resuelve uno de los problemas más comunes en el desarrollo, a la vez que asegura que la base de datos es compatible con todas las plataformas de los clientes, pero si no se configuran de manera adecuada pueden suceder situaciones como las mencionadas en el informe.
Los investigadores de ciberseguridad vieron que era posible acceder a gran cantidad de información sensible, incluyendo direcciones de correo electrónico, contraseñas, chats privados, localización de dispositivos, identificadores de usuarios y mucho más.
Algunas de las aplicaciones analizadas por CheckPoint
“Si un ciberdelincuente consiguiera llegar a esta información, podría dar lugar a un borrado de servicios (es decir, intentar utilizar la misma combinación de nombre de usuario y contraseña en otros servicios), a un fraude y/o a una suplantación de identidad”, advierten los expertos.
En el informe se alertan sobre errores de configuración de este tipo en una aplicación de astrología llamada Astro Guru y que solicita que los usuarios introduzcan sus datos personales, como el nombre, la fecha de nacimiento, el mail y ubicación. También se detalla el caso de la aplicación T’Leva, en la cual los investigadores pudieron acceder a los mensajes de chat entre conductores y pasajeros. También lograron recuperar los nombres completos de los usuarios, sus números de teléfono y sus ubicaciones (destino y recogida), todo ello con una sola petición a la base de datos.
Por su parte la app iFax, no sólo tenía los datos de acceso de almacenamiento en la nube incrustadas en la aplicación, sino que también guardaba allí todas las transmisiones de fax. “Con solo echar un vistazo la app, un ciberdelincuente podría acceder a todos y cada uno de los documentos enviados por los 500.000 usuarios que la instalaron”, se destaca en el comunicado.
En cuanto a la aplicación Screen Recorder, que se utiliza para grabar la pantalla del dispositivo del usuario, se menciona que con un rápido análisis del archivo de la aplicación, los investigadores pudieron acceder las claves de los usuarios que dan acceso a cada grabación almacenada.
