Una app de iPhone provoca un fallo de seguridad exponiendo miles de Apple ID
La aplicación TeenSafe ha dejado expuestas miles de cuentas en dos servidores de la web Amazon.
Cuando los datos de cuentas privadas son expuestos en la Red solemos pensar inmediatamente en una palabra: hackeo. Pero no siempre un pirata informático ha sido el responsable, no siempre una filtración sucede porque hay alguien detrás que la ha provocado. A veces ocurre por un fallo y/o por un error grave, como lo que le ha sucedido a la aplicación TeenSafe de la App Store, que ha dejado expuestos miles de Apple IDs y cuentas.
El grave fallo de TeenSafe
Las aplicaciones como TeenSafe son habituales en las tiendas de apps, pero requieren del usuario que confíe en lo que brindan, ya que se trata de aplicaciones que permiten a los padres monitorizar a sus hijos para quedarse tranquilos sabiendo dónde están, por dónde van y el tipo de mensajes que intercambian con sus amigos. TeenSafe en concreto permite a un padre ver en su móvil datos del teléfono de su hijo como mensajes de texto enviados, recibidos, de iMessages, de WhatsApp e incluso SMS borrados; ver un registro de las llamadas entrantes y salientes; comprobar la localización del móvil de su hijo, el historial de Internet y las páginas que ha visitado, así como las apps que ha instalado.
Es por ello que problemas como el que TeenSafe ha sufrido son tan graves, ya que rompen esa confianza depositada por los padres de cara a una app para supervisar a su hijo. Según la web ZDNet, un fallo en los servidores de alojamiento de la app ha provocado que miles de cuentas de usuarios, tanto de padres como de niños, hayan estado accesibles a todo el mundo sin ni siquiera tener que introducir una contraseña. Los datos expuestos incluyen elementos tan privados como contraseñas e IDs de Apple incluso, aunque lo peor es precisamente la ventana abierta que han dejado para entrar en los móviles de miles de adolescentes.
10.200 CUENTAS
Alojados en el servicio de la Nube de Amazon, al menos uno de los servidores que usa la app ha sido accesible sin password. Al parecer, los datos de las cuentas expuestas estaban alojados en un formato de texto plano, aunque la web de TeenSafe clama que usa un sistema de cifrado para proteger los datos de sus usuarios. El analista de seguridad Robet Wiggins encontró dos servers afectados, aunque sólo en uno se guardaban los datos. De hecho, un representante de TeenSafe ha declarado que “hemos llevado a cabo la acción de cerrar uno de nuestros servidores al público y comenzado a alertar a los clientes que podrían haber sido afectados”.
Alrededor de 10.200 cuentas de los últimos tres meses se han visto comprometidas, aunque el número podría ser el doble. Por suerte los datos expuestos no incluyen fotos, mensajes ni datos de localización, pero sí otros. Quizás que lo más grave sea que para funcionar, TeenSafe exige que se desconecte la autenticación en dos pasos, que usa un segundo dispositivo para asegurarse de que iniciamos sesión de forma segura, por lo que en caso normal sólo haría falta la contraseña para acceder a una cuenta expuesta. Lo peor es que ni siquiera eso ha hecho falta, porque los datos no estaban guardados de forma cifrada en la Nube siquiera.