Una aplicación de seguimiento familiar estaba filtrando datos de ubicación en tiempo real

Una aplicación de seguimiento familiar estaba filtrando datos de ubicación en tiempo real

by

in

Una popular aplicación de seguimiento familiar estuvo filtrando las ubicaciones en tiempo real de más de 238,000 usuarios durante semanas después de que el desarrollador dejó un servidor expuesto sin una contraseña.

La aplicación, Family Locator, construida por la casa de software React Apps de Australia, permite a las familias realizar un seguimiento mutuo en tiempo real, como los cónyuges o padres que desean saber dónde están sus hijos. También les permite a los usuarios configurar alertas geocerradas para enviar una notificación cuando un miembro de la familia ingresa o sale de un lugar determinado, como la escuela o el trabajo.

Pero la base de datos de MongoDB de fondo se dejó sin protección y accesible por cualquiera que supiera dónde buscar.

Sanyam Jain, un investigador de seguridad y miembro de la Fundación GDI, encontró la base de datos e informó los hallazgos a TechCrunch.

Basado en una revisión de la base de datos, cada registro de la cuenta contenía el nombre del usuario, la dirección de correo electrónico, la foto del perfil y sus contraseñas de texto simple. Cada cuenta también mantuvo un registro de las ubicaciones en tiempo real propias y de otros miembros de su familia, precisas a solo unos pocos pies. Cualquier usuario que tuviera una configuración de geofence también tenía esas coordenadas almacenadas en la base de datos, junto con lo que el usuario las llamó, como "casa" o "trabajo".

Ninguno de los datos fue encriptado.

TechCrunch verificó el contenido de la base de datos al descargar la aplicación y registrarse usando una dirección de correo electrónico ficticia. En segundos, nuestra ubicación en tiempo real apareció como coordenadas precisas en la base de datos.

Contactamos a un usuario de la aplicación al azar que, aunque sorprendido y sorprendido por los hallazgos, confirmó a TechCrunch que las coordenadas encontradas en su registro eran exactas. El usuario de la Florida, que no quiso ser identificado, dijo que la base de datos era la ubicación de su negocio. El usuario también confirmó que un miembro de la familia que figura en la aplicación era su hijo, un estudiante de una escuela secundaria cercana.

Otros registros que revisamos también incluyeron las ubicaciones en tiempo real de los padres y sus hijos.

TechCrunch pasó una semana tratando de contactar al desarrollador, React Apps, sin éxito. El sitio web de la compañía no tenía información de contacto, ni tampoco su política de privacidad. El sitio web tenía un registro de WHOIS oculto habilitado para la privacidad, que ocultaba la dirección de correo electrónico del propietario. Incluso compramos los registros comerciales de la empresa a la Comisión Australiana de Valores e Inversiones, solo para conocer el nombre del propietario de la empresa, Sandip Mann Singh, pero no la información de contacto. Enviamos varios mensajes a través del formulario de comentarios de la compañía, pero no recibimos ningún reconocimiento.

El viernes, le pedimos a Microsoft, que albergaba la base de datos en su nube de Azure, que se pusiera en contacto con el desarrollador. Horas más tarde, la base de datos fue finalmente desconectada.

No se sabe exactamente durante cuánto tiempo estuvo expuesta la base de datos. Singh aún no ha reconocido la fuga de datos.


Source link