Robo de datos en aplicación para buscar niñeras

93 mil usuarios fueron afectados por lo que la aplicación llamó un “robo de datos temporal”

La aplicación para buscar y contratar niñeras conocida como Sitter expuso “de manera temporal” la información de 93 mil de los titulares de sus cuentas según reportes de un experto en ciberseguridad que descubrió la información filtrada a través de Shodan, motor de búsqueda de Internet de las Cosas (IoT).

En una publicación de LinkedIn, el investigador Bob Diachenko explica cómo encontró la base de datos de 2 GB de MongoDB el pasado 13 de agosto, la cual contenía números de teléfono, direcciones, detalles de transacciones, contactos de los titulares de cuenta, números parciales de tarjeta de crédito, y contraseñas de cuentas encriptadas.

La información filtrada incluye el chat del usuario en la aplicación y el historial de notificaciones, así como detalles de qué usuarios necesitaban una niñera, en qué momento y en qué dirección.

Shodan indexó la base de datos un día antes de que el investigador en ciberseguridad la encontrara en línea, lo que sugiere que su tiempo de exposición no fue mucho, aunque sí se piensa que la base de datos haya permanecido comprometida por un periodo de tiempo más largo. La buena noticia es que, apenas se enteraron de la filtración de datos, el equipo detrás de Sitter reaccionó a la brevedad y removió la información filtrada, evitando de este modo que los datos comprometidos pudieran ser usados para fines ilícitos.

Los desarrolladores de Sitter lanzaron un comunicado en el que afirmaron que los usuarios potencialmente afectados ya habían sido notificados de la situación, asimismo anunciaron próximas mejoras en las medidas de seguridad de los datos de sus usuarios. Sitter también declaró que la vulnerabilidad que permitió la filtración de información ya ha sido reparada.

Este hecho se presentó no mucho después de la filtración de otra base de datos de MongoDB que comprometió los registros de miles de personas en el estado de Michoacán, México. Antes de eso, en 2017 un hacker implementó una campaña de robo de datos en la que consiguió comprometer 28 mil bases de datos de MongoDB con medidas de seguridad deficientes, con lo que consiguió que muchas de las víctimas pagaran cuotas de rescate por su información en Bitcoin, solicitado así por el hacker.

No existe evidencia de que otras personas, además del investigador Bob Diachenko, hayan podido acceder a la base de datos de Sitter, por lo que aparentemente este incidente no generó consecuencias más serias; de cualquier modo, especialistas en ciberseguridad del Instituto Internacional de Seguridad Cibernética consideran que, una vez que un hacker consigue acceso a información publicada en línea, no hay tal cosa como un robo de datos temporal, pues la información comprometida permanecerá vulnerable una vez puesta en ese entorno.