True se anuncia como la aplicación de redes sociales que “protegerá su privacidad”. Pero una falla de seguridad dejó uno de sus servidores expuesto y derramando datos privados de los usuarios en Internet para que cualquiera los encontrara.
La aplicación fue lanzada en 2017 por Hello Mobile, un operador de telefonía celular virtual poco conocido que se suma a la red de T-Mobile. El sitio web de True dice que ha recaudado $ 14 millones en fondos iniciales y obtuvo más de medio millón de usuarios poco después de su lanzamiento.
Pero un panel para una de las bases de datos de la aplicación estaba expuesto a Internet sin contraseña, lo que permitía a cualquiera leer, navegar y buscar en la base de datos, incluidos los datos privados del usuario.
Mossab Hussein, director de seguridad de la empresa de ciberseguridad SpiderSilk con sede en Dubai, encontró el tablero expuesto y proporcionó detalles a TechCrunch. Los datos proporcionados por BinaryEdge, un motor de búsqueda para bases de datos y dispositivos expuestos, mostraron que el tablero estuvo expuesto al menos desde principios de septiembre.
Después de que nos comunicamos, True desconectó el tablero.
Bret Cox, director ejecutivo de True, confirmó la falla de seguridad, pero no respondió a nuestras preguntas específicas, incluso si la compañía planeaba informar a los usuarios sobre la falla de seguridad o si planeaba revelar el incidente a los reguladores bajo las leyes estatales de notificación de violación de datos.
El panel contenía registros diarios del servidor que se remontaban a febrero e incluía la dirección de correo electrónico o el número de teléfono registrado del usuario, el contenido de las publicaciones y mensajes privados entre usuarios y la última ubicación geográfica conocida del usuario, que podía identificar dónde estaba o había estado un usuario. El panel también expuso los contactos de correo electrónico y teléfono cargados por el usuario, que True usa para hacer coincidir con amigos conocidos en la aplicación.
Ninguno de los datos estaba encriptado.
TechCrunch confirmó que el panel estaba devolviendo datos reales del usuario al crear una cuenta de prueba y pedirle a Hussein que proporcionara datos que solo nosotros sabríamos, como el número de teléfono utilizado para registrar la cuenta.
Hussein dijo que el tablero también estaba filtrando tokens de acceso a la cuenta, que podrían usarse para piratear y secuestrar la cuenta de cualquier usuario. Estos tokens de acceso a la cuenta se ven como una línea de letras y números aleatorios, pero mantienen al usuario conectado a la aplicación sin tener que ingresar sus datos de inicio de sesión cada vez. Usando nuestra cuenta de prueba, Hussein encontró nuestro token de acceso desde el panel de control y lo usó para acceder a nuestra cuenta y publicar un mensaje en nuestro feed.
El panel también expuso códigos de inicio de sesión únicos, que True envía a la dirección de correo electrónico o al número de teléfono asociados a una cuenta en lugar de almacenar contraseñas.
True dice que eliminar una cuenta “eliminará inmediatamente todo su contenido de nuestros servidores”, pero eliminar nuestra cuenta de prueba no eliminó nuestros mensajes privados, publicaciones y fotos, y aún se podría buscar en el tablero.
“Este es otro ejemplo de cómo pueden ocurrir errores en cualquier organización, incluso aquellas que están centradas en la privacidad”, dijo Hussein a TechCrunch. “Destaca la importancia de no solo crear aplicaciones y sitios web seguros, sino también garantizar que las medidas de seguridad de datos adecuadas estén integradas en sus procedimientos internos”.
No se pudo contactar a un portavoz de Hello Mobile.
El año pasado, Hussein encontró un panel de base de datos expuesto que pertenece a Blind, la “red social anónima”, favorecida por los empleados para divulgar públicamente las irregularidades y las irregularidades en sus empresas.
Puede ponerse en contacto con el autor con consejos de forma segura utilizando Signal y WhatsApp al: + 1646-755-8849.
Source link