Después de que el creador de la app del teclado virtual Ai.Type dejó 577GB de datos de Mongo-hosted sin seguridad, la información personal de más de 31 millones de clientes fue expuesta a todo el que tuviera conexión a internet, según un post en el blog de Kromtech Security Center cuyos investigadores fueron quienes encontraron la fuga de datos.
Los investigadores descubrieron que la información expuesta incluía números telefónicos, el nombre del dueño, aparatos, redes móviles, números del SMS, direcciones de correo electrónico, información asociada con las cuentas de redes sociales y demás.
“Esto expuso también la cantidad de información a la que se tiene acceso y cómo se obtiene el tesoro oculto de información, los usuarios promedio no esperan que se extraiga de sus teléfonos o tablets,” según lo escrito en el post del blog mencionado.
“Ésta falla resalta lo vulnerable que somos ante las apps o las herramientas de terceros que son descuidadas o imprudentes con su seguridad,” mencionóel experto de seguridad informática de Webimprints. “Los consumidores aceptan automáticamentelos permisos de seguridad y sin darse cuenta permiten que las apps tengan completo acceso a lo que se encuentra en sus celulares.”
La mayoría de los usuarios “jamás leen los permisos de información de las aplicaciones cuando la bajan y no se dan cuenta que están otorgando acceso a casi todo, incluyendo muchas áreas en la que el publicador de la app no tiene uso legitimo, unas cuantas fugas de información más como ésta y las cosas podrían cambiar,” dijo John Gunn, jefe de marketing en VASCO Data Security. “Anteriormente, la gente sólo se preocupaba por su propia ingenuidad, ahora los usuarios también se tienen que preocupar por la de sus amigos y conocidos, pues pueden dar acceso a su información a algunos irresponsables y sin límites, publicadores de la app.”
Jeff Williams, CTO y cofundador del Contrast Security, hizo un llamado a la FCC para encontrar al autor de la app mencionada por haber hecho declaraciones fraudulentas acerca del producto, nos menciona Jim Gil, un experto de seguridad informática de International Institute of Cyber Security (IICS).
“El autor de la app prometido mayor seguridad y codificar la información pero fallado completamente, es un serio problema,” dijo Williams, “¿Cómo pueden los consumidores protegerse, si el marketing es libre de decir lo que sea sin asumir las consecuencias por mentir?”.
Sería mejor si “los vendedores de las apps no se quedaran solamente con lo que les dicen, si no que se les requiriera revelar información básica acerca de la seguridad de los productos,” comentó Williams, “No hallo alguna otra manera de arreglar el mercadeo de los softwares.”
DeMeo hizo un llamado al cambio “Un mejor modelo de seguridad: asumir que todas las apps y vendedores (aún las más confiadas) pueden ser las más descuidadas y pueden ser infringidas,” advirtiendo a los usuarios a no otorgar acceso a información personal de manera voluntaria “ni permitir lasapps que no son de confianza tengan acceso a la información de sus dispositivos moviles.”
Entusiasta de la seguridad cibernética. Especialista en seguridad de la información, actualmente trabajando como especialista en infraestructura de riesgos e investigador.
Experiencia en procesos de riesgo y control, soporte de auditoría de seguridad, diseño y soporte de COB (continuidad del negocio), gestión de grupos de trabajo y estándares de seguridad de la información.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/.
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad