Whisper es una aplicación para compartir secretos donde puedes publicar mensajes anónimos, pero fallas de seguridad garantizaron que el contenido y los perfiles de los usuarios estuvieran disponibles para que cualquiera en línea pudiera verlos.
La exposición inadvertida de los datos fue causada por una base de datos abierta sin credenciales ni protección con contraseña, según informó el Washington Post.
Ver también: Los piratas informáticos chinos utilizan el troyano Bisonal de una década de antigüedad en campañas de ciberespionaje
Los investigadores independientes Matthew Porter y Dan Ehrlich encontraron el tesoro de datos, que contenía aproximadamente 900 millones de registros que abarcaban desde el lanzamiento de la aplicación en 2012 hasta la actualidad.
Si bien los registros no incluían nombres de usuarios, sí incluían apodos, edades, etnias, géneros, lugares de origen, membresías en grupos (algunos de los cuales son de naturaleza sexual) y datos de ubicación vinculados a las publicaciones.
La información de ubicación incluía coordenadas de la última publicación enviada por un usuario, “que apuntaba a escuelas, lugares de trabajo y vecindarios residenciales específicos”, según la publicación.
CNET: El fabricante de aplicaciones de reconocimiento facial Clearview AI demandado por Vermont
Una vez alertado sobre la base de datos abierta, el lunes, Whisper restringió el acceso y cerró la brecha de seguridad de autenticación. También se ha notificado a las autoridades federales.
La aplicación para compartir secretos dijo en un comunicado que la base de datos “no fue diseñada para ser consultada directamente”; en cambio, la información contenida en él solo estaba destinada a ser pública para los usuarios dentro de la aplicación.
Whisper fue criticado en 2014 después de que The Guardian revelara cómo se rastreaban las ubicaciones de los usuarios, incluso si se seleccionaban opciones para desactivar el monitoreo de ubicación. En ese momento, se publicaban más de 2,6 millones de mensajes diariamente.
República Tecnológica: Los ciberatacantes distribuyen malware mediante enlaces de sitios incluidos en la lista blanca
El año pasado, los investigadores de Pen Test Partners descubrieron que cuatro aplicaciones móviles de citas y encuentros sexuales (3Fun, Grindr, Romeo y Recon) estaban filtrando las coordenadas de ubicación precisas de los usuarios. Si bien 3Fun tenía la “peor seguridad para cualquier aplicación de citas que hayamos visto”, según los investigadores, las tres restantes eran vulnerables a la exposición de la ubicación del GPS a través de herramientas de trilateración y suplantación de GPS.
Los 10 peores hackeos y filtraciones de datos de 2019 (en imágenes)
Cobertura anterior y relacionada
¿Tienes algún consejo? Ponte en contacto de forma segura a través de WhatsApp | Señale al +447713 025 499, o en Keybase: charlie0