Información personal perteneciente a más de 31 millones de usuarios de una app de teclado para smartphones llamada ai.type, fue expuesta debido a una base de datos online desprotegida. En total, cerca de 580 gigabytes de registros de usuarios fueron visibles en una base de datos MongoDB luego de que el desarrollador israelí no utilizara ningún tipo de autenticación para asegurar el servidor de su base de datos.
Esta aplicación cuenta con más de 40 millones de usuarios entre Android e iOS, pero solo los usuarios del sistema operativo de Google se vieron afectados por este problema de seguridad. Se reportó que Eitan Fitusi, CEO y fundado de ai.type, aseguró la información con una contraseña luego de haber sido alertado varias veces. Pero antes de que eso sucediera, la información estaba disponible para que fuera tomada por cualquier cibercriminal.
Quizás algo tan preocupante como esto es la cantidad de información que la aplicación de teclado obtenía de los sistemas. Reportes sugieren que la información personal visible era de una amplia gama, aparentemente basado en si los usuarios habían instalado la versión gratuita o paga de la app. La información recolectada incluye el nombre completo del usuario, dirección de correo electrónico, información de localización, los números IMSI e IMEI del dispositivo, fabricante y modelo, versión de Android, detalles del perfil público de Google de los usuarios y contenidos de los contactos.
Fuente: Google Play
También se halló una base de datos que contenía más de 8.6 de entradas de texto que habían sido utilizadas en el teclado y que podrían incluir direcciones de correo electrónico con sus contraseñas correspondientes. Mientras tanto, se dice que Fitusi afirma que la información en riesgo no es tanta como la que se ha reportado y que la app no está espiando a los usuarios.
"Era una base de datos secundaria" le dijo a la BBC en torno a la noticia, agregando que la información de geolocalización no era precisa y que la información de IMEI no estaba siendo recolectada, además que el comportamiento del usuario recolectado por la compañía era solamente en qué publicidades se había hecho clic.
En respuesta a este tipo de prácticas de recolección de información, Mark James (especialista de seguridad de ESET) dijo "en sí misma es una gran cantidad de información para ser guardada en un servidor bien asegurado, pero lamentablemente no es lo que ocurrió". Además agregó "la base de datos no estaba bien configurada y eso permitía acceso completo desde internet a la información allí contenida, convirtiéndola esencialmente en totalmente accesible".
Otra aplicación de teclado, SwiftKey, también tuvo sus propios problemas de seguridad el pasado julio cuando se reportó que algunos usuarios habían recibido mensajes de texto predictivos dirigidos a otras personas, incluyendo direcciones de correo electrónico y números de teléfono. El inconveniente fue atribuido a un bug en el programa de sincronización del teclado, y el fabricante suspendió temporariamente la sincronización de la aplicación.
Se aconseja a los usuarios que tengan precauciones al momento de instalar aplicaciones móviles. Lo cual se debería redoblar en el caso de las aplicaciones de teclados ya que por su naturaleza, tienen acceso a toda la información ingresada por los usuarios, incluyendo información de lo más sensible como contraseñas y detalles de tarjetas de crédito.
