La popular aplicación de mensajería JusTalk dejó una enorme base de datos de mensajes privados sin cifrar expuestos públicamente a Internet sin contraseña durante meses.
La aplicación de mensajería tiene alrededor de 20 millones de usuarios internacionales, mientras que las listas de Google Play Niñosanunciada como una versión para niños de su aplicación de mensajería, ha acumulado más de 1 millón de descargas de Android.
JusTalk dice que sus dos aplicaciones de mensajería están encriptadas de extremo a extremo y se jacta en su sitio web de que “solo usted y la persona con la que se comunica pueden verlas, leerlas o escucharlas: ¡incluso el equipo de JusTalk no accederá a sus datos!”
Pero eso no es cierto. Una base de datos de registro utilizada por la empresa para realizar un seguimiento de los errores y fallas con las aplicaciones se dejó en Internet sin contraseña, según un investigador de seguridad. anurag senquien encontró la base de datos expuesta y pidió ayuda a TechCrunch para informar el lapso a la empresa.
Se podía acceder a la base de datos y a los cientos de gigabytes de datos internos, alojados en un servidor en la nube alojado por Huawei en China, desde el navegador web simplemente conociendo su dirección IP. Shodan, un motor de búsqueda de dispositivos y bases de datos expuestos, muestra que el servidor estuvo almacenando continuamente los registros del mes más reciente desde al menos principios de enero, cuando la base de datos se expuso por primera vez.
Poco tiempo después de que informamos que la aplicación no estaba cifrada de extremo a extremo como afirma la empresa, la base de datos se cerró.
Juphoon, la compañía en la nube con sede en China detrás de la aplicación de mensajería, dice en su sitio web que creó JusTalk en 2016 y ahora es propiedad y está operada por Ningbo Jus, una compañía que parece Cuota la misma oficina que figura en el sitio web de Juphoon.
Leo Lv, director ejecutivo de Juphoon y fundador de JusTalk, abrió nuestros correos electrónicos pero no respondió ni dijo si la empresa planeaba notificar a los usuarios sobre la falla de seguridad.
Debido a que los datos del servidor estaban enredados con registros y otros datos legibles por computadora, no se sabe exactamente cuántas personas vieron sus mensajes privados expuestos por la falla de seguridad.
El servidor recopilaba y almacenaba más de 10 millones de registros individuales cada día, incluidos millones de mensajes enviados a través de la aplicación, incluidos los números de teléfono del remitente, el destinatario y el mensaje en sí. La base de datos también registró todas las llamadas realizadas, que incluían los números de teléfono de la persona que llama y del destinatario en cada registro.
Debido a que cada mensaje registrado en la base de datos contenía todos los números de teléfono en el mismo chat, fue posible seguir conversaciones completas, incluso de niños que usaban la aplicación JusTalk Kids para chatear con sus padres. Una cadena de conversación contenía suficiente información personal para identificar a un pastor que estaba usando la aplicación para solicitar a una trabajadora sexual que enumere públicamente su número de teléfono para sus servicios, incluida la hora, el lugar y el precio de su reunión.
Ninguno de los mensajes estaba encriptado, a pesar de las afirmaciones de JusTalk.
También informamos anteriormente que la base de datos también incluía datos granulares de ubicación de miles de usuarios recopilados de los teléfonos de los usuarios, con grandes grupos de usuarios en EE. UU., Reino Unido, India, Arabia Saudita, Tailandia y China continental. La base de datos también contenía registros de una tercera aplicación, Segundo número de teléfono de JusTalk, que permite a los usuarios generar números de teléfono virtuales y efímeros para usar en lugar de dar su número de teléfono celular privado. Una revisión de algunos de estos registros muestra que la base de datos registraba tanto el número de teléfono celular de la persona como cada número de teléfono efímero que generaba.
Pero TechCrunch encontró evidencia de que Sen no estaba solo en encontrar la base de datos expuesta.
Una nota de rescate sin fecha dejada en la base de datos sugiere que un extorsionista de datos accedió a ella en al menos una ocasión, un mal actor que escanea Internet en busca de bases de datos expuestas para robarla y amenaza con publicar los datos a menos que se pague un rescate de unos pocos cientos. se pagan dólares en criptomonedas.
No se sabe si se perdieron o robaron datos de JusTalk como resultado del acceso del extorsionador, pero la dirección de la cadena de bloques asociada con la nota de rescate muestra que aún no ha recibido ningún fondo.