Massive Breach expone la aplicación de teclado que recopila datos personales en sus 31 millones de usuarios

December 5, 2017

 

En la era digital, uno de los dichos más populares es: si no pagas, entonces no eres el cliente, sino el producto.

Al descargar aplicaciones en sus teléfonos inteligentes, es posible que la mayoría de los usuarios no se den cuenta de la cantidad de datos que recopilan sobre usted.

Créame; es mucho más de lo que puedes imaginar.

Hoy en día, muchos desarrolladores de aplicaciones siguen prácticas irresponsables que vale la pena entender, y no tenemos un mejor ejemplo que este incidente recientemente informado sobre una aplicación de teclado virtual.

Un equipo de investigadores de seguridad del Centro de seguridad de Kromtech descubrió un enorme tesoro de datos personales pertenecientes a más de 31 millones de usuarios de la popular aplicación de teclado virtual AI.type, filtrada accidentalmente en línea para que cualquier persona la descargue sin necesidad de ninguna contraseña.


Fundado en 2010, Ai.type es un teclado en pantalla personalizable y personalizable para teléfonos móviles y tabletas, con más de 40 millones de usuarios en todo el mundo.

Aparentemente, una base de datos MongoDB mal configurada, propiedad de AI.type, con base en Tel Aviv, expuso sus 577 GB de la base de datos en línea que incluye una sorprendente cantidad de detalles confidenciales sobre sus usuarios, que ni siquiera es necesario para que la aplicación funcione .

" ... parecen recolectar todo, desde contactos hasta pulsaciones de teclas " .

La base de datos filtrada de más de 31 millones de usuarios incluye:

 

  • Nombre completo, número de teléfono y dirección de correo electrónico

  • Nombre del dispositivo, resolución de pantalla y detalles del modelo

  • Versión de Android, número de IMSI y número de IMEI

  • Nombre de la red móvil, país de residencia e incluso idiomas habilitados por el usuario

  • Dirección IP (si está disponible), junto con la ubicación del GPS (longitud / latitud).

  • Enlaces y la información asociada con los perfiles de las redes sociales, incluida la fecha de nacimiento, correos electrónicos, fotos.


"Cuando los investigadores instalaron Ai.Type se sorprendieron al descubrir que los usuarios debían permitir 'Acceso total' a todos sus datos almacenados en el iPhone de prueba, incluidos todos los datos del teclado pasados ​​y presentes", dicen los investigadores.


¿Qué es más?

Además, la base de datos filtrada también revela que la aplicación de teclado virtual también está robando los libros de contactos de los usuarios, incluidos los nombres y números de teléfono de los contactos, y que ya raspó más de 373 millones de registros.

"Hubo una serie de otras estadísticas como las consultas de Google de los usuarios más populares para diferentes regiones. Datos como mensajes promedio por día, palabras por mensaje, la edad de los usuarios, words_per_day ': 0.0,' word_per_session y una mirada detallada a sus clientes ", dicen los investigadores.


 

 


Los investigadores plantean la siguiente pregunta: " ¿por qué querría un teclado y la aplicación de emoji necesita recopilar toda la información del teléfono o la tableta del usuario? "

Incluso las brechas de datos recientes nos han enseñado que una vez que nuestros datos personales caen en manos de ciberdelincuentes, nos hace vulnerables para siempre.

Por lo tanto, la mejor defensa para protegerse es siempre la conciencia.

 

Fuente: https://thehackernews.com/2017/12/keyboard-data-breach.html

Share on Facebook
Share on Twitter
Please reload

Please reload

Otras Noticias 

  • Black Facebook Icon
  • Black LinkedIn Icon

© Hack&Secure s.a.s