Una app de iPhone provoca un fallo de seguridad exponiendo miles de Apple ID

Cuando los datos de cuentas privadas son expuestos en la Red solemos pensar inmediatamente en una palabra: hackeo. Pero no siempre un pirata inform¨¢tico ha sido el responsable, no siempre una filtraci¨®n sucede porque hay alguien detr¨¢s que la ha provocado. A veces ocurre por un fallo y/o por un error grave, como lo que le ha sucedido a la aplicaci¨®n TeenSafe de la App Store, que ha dejado expuestos miles de Apple IDs y cuentas.

El grave fallo de TeenSafe

Las aplicaciones como TeenSafe son habituales en las tiendas de apps, pero requieren del usuario que conf¨ªe en lo que brindan, ya que se trata de aplicaciones que permiten a los padres monitorizar a sus hijos para quedarse tranquilos sabiendo d¨®nde est¨¢n, por d¨®nde van y el tipo de mensajes que intercambian con sus amigos. TeenSafe en concreto permite a un padre ver en su m¨®vil datos del tel¨¦fono de su hijo como mensajes de texto enviados, recibidos, de iMessages, de WhatsApp e incluso SMS borrados; ver un registro de las llamadas entrantes y salientes; comprobar la localizaci¨®n del m¨®vil de su hijo, el historial de Internet y las p¨¢ginas que ha visitado, as¨ª como las apps que ha instalado.

Es por ello que problemas como el que TeenSafe ha sufrido son tan graves, ya que rompen esa confianza depositada por los padres de cara a una app para supervisar a su hijo. Seg¨²n la web ZDNet, un fallo en los servidores de alojamiento de la app ha provocado que miles de cuentas de usuarios, tanto de padres como de ni?os, hayan estado accesibles a todo el mundo sin ni siquiera tener que introducir una contrase?a. Los datos expuestos incluyen elementos tan privados como contrase?as e IDs de Apple incluso, aunque lo peor es precisamente la ventana abierta que han dejado para entrar en los m¨®viles de miles de adolescentes.

Ampliar

10.200 CUENTAS

Alojados en el servicio de la Nube de Amazon, al menos uno de los servidores que usa la app ha sido accesible sin password. Al parecer, los datos de las cuentas expuestas estaban alojados en un formato de texto plano, aunque la web de TeenSafe clama que usa un sistema de cifrado para proteger los datos de sus usuarios. El analista de seguridad Robet Wiggins encontr¨® dos servers afectados, aunque s¨®lo en uno se guardaban los datos. De hecho, un representante de TeenSafe ha declarado que ¡°hemos llevado a cabo la acci¨®n de cerrar uno de nuestros servidores al p¨²blico y comenzado a alertar a los clientes que podr¨ªan haber sido afectados¡±.

Alrededor de 10.200 cuentas de los ¨²ltimos tres meses se han visto comprometidas, aunque el n¨²mero podr¨ªa ser el doble. Por suerte los datos expuestos no incluyen fotos, mensajes ni datos de localizaci¨®n, pero s¨ª otros. Quiz¨¢s que lo m¨¢s grave sea que para funcionar, TeenSafe exige que se desconecte la autenticaci¨®n en dos pasos, que usa un segundo dispositivo para asegurarse de que iniciamos sesi¨®n de forma segura, por lo que en caso normal s¨®lo har¨ªa falta la contrase?a para acceder a una cuenta expuesta. Lo peor es que ni siquiera eso ha hecho falta, porque los datos no estaban guardados de forma cifrada en la Nube siquiera.