La popular aplicación de videollamadas y mensajes JusTalk afirma ser segura y encriptada. Pero un error de seguridad ha demostrado que la aplicación no es segura ni está encriptada después de que se encontró en línea una gran cantidad de mensajes privados no encriptados de los usuarios.
La aplicación de mensajería se usa ampliamente en Asia y tiene una audiencia internacional en auge con 20 millones de usuarios en todo el mundo. Listas de Google Play Niñosanunciada como su versión compatible y apta para niños de su aplicación de mensajería, con más de 1 millón de descargas de Android.
JusTalk dice que ambas aplicaciones están encriptadas de extremo a extremo, donde solo las personas en la conversación pueden leer sus mensajes, y se jacta en su sitio web de que “solo usted y la persona con la que se comunica pueden verlos, leerlos o escucharlos: Incluso ¡El equipo de JusTalk no accederá a sus datos!”
Pero una revisión del enorme caché de datos internos, vista por TechCrunch, demuestra que esas afirmaciones no son ciertas. Los datos incluyen millones de mensajes de usuarios de JusTalk, junto con la fecha y hora precisas en que se enviaron y los números de teléfono del remitente y el destinatario. Los datos también contenían registros de llamadas realizadas mediante la aplicación.
investigador de seguridad anurag sen encontró los datos esta semana y pidió ayuda a TechCrunch para informarlo a la empresa. Juphoon, la compañía en la nube con sede en China detrás de la aplicación de mensajería, dijo que lanzó el servicio en 2016 y ahora es propiedad y está operada por Ningbo Jus, una compañía que parece Cuota la misma oficina que figura en el sitio web de Juphoon. Pero a pesar de los múltiples esfuerzos para contactar al fundador de JusTalk, Leo Lv, y otros ejecutivos, nuestros correos electrónicos no fueron reconocidos ni devueltos, y la compañía no ha mostrado ningún intento de remediar el derrame. Un mensaje de texto al teléfono de Lv se marcó como entregado pero no leído.
Debido a que cada mensaje registrado en los datos contenía todos los números de teléfono en el mismo chat, fue posible seguir conversaciones completas, incluso de niños que usaban la aplicación JusTalk Kids para chatear con sus padres.
Los datos internos también incluyeron las ubicaciones granulares de miles de usuarios recopilados de los teléfonos de los usuarios, con grandes grupos de usuarios en los Estados Unidos, Reino Unido, India, Arabia Saudita, Tailandia y China continental.
Según Sen, los datos también contenían registros de una tercera aplicación, Segundo número de teléfono de JusTalk, que permite a los usuarios generar números de teléfono virtuales y efímeros para usar en lugar de dar su número de teléfono celular privado. Una revisión de algunos de estos registros revela tanto el número de teléfono celular del usuario como todos los números de teléfono efímeros que generaron.
No estamos revelando dónde o cómo se pueden obtener los datos, pero sopesamos a favor de la divulgación pública después de que encontramos evidencia de que Sen no fue el único que descubrió los datos.
Este es el último de una serie de derrames de datos en China. A principios de este mes, una enorme base de datos de unos mil millones de residentes chinos fue desviada de una base de datos de la policía de Shanghái almacenada en la nube de Alibaba y partes de los datos se publicaron en línea. Beijing aún no ha comentado públicamente sobre la filtración, pero las referencias a la filtración en las redes sociales han sido ampliamente censuradas.