Y es que las bases de datos mal aseguradas las carga el diablo...
Seguramente te suene la conocida aplicación de teclado virtual AI.Type. Está disponible para iOS y Android y permite sustituir al teclado virtual por defecto que trae el sistema operativo, añadiendo un montón de funcionalidades. En la actualidad la utilizan a diario más de 60 millones de personas.
Esta aplicación aparentemente tan inofensiva está obteniendo una tonelada de información sobre ti todo el rato. ¿Cómo lo sabemos? Pues porque la semana pasada unos investigadores de seguridad revelaron que habían encontrado la base de datos completa de la aplicación expuesta on-line y sin protección. Se trata de una base de datos MongoDB con casi 600GB de información sobre más de 31 millones de usuarios 😵
Más allá de la negligencia de la empresa a la hora de asegurar los datos de sus usuarios, lo que sorprende mucho es saber la cantidad de información que obtienen sobre ti sin que seas consciente. Entre los datos recogidos se encuentran:
- El nombre completo del usuario y su dirección de email
- Sus ubicaciones
- Sus direcciones IP
- Detalles del sistema operativo
- El número IMEI del terminal
- El número IMSI que lo identifica en la red móvil
- Todos los enlaces a sus redes sociales
- Todas sus fotos
- Y por si fuera poco: los nombres y números de teléfono de todos sus contactos.
Si usas esta aplicación, eso significa no solo que toda esta información personal sensible sobre ti ha estado expuesta públicamente en Internet (un fallo grave, pero puntual), sino que confirma con meridiana claridad el hecho de que para poder utilizar gratis una aplicación a priori tan inocua como un "simple" teclado, estás regalando una ingente cantidad de información sobre ti, y sobre gente que conoces que ni siquiera han decidido utilizarla. Y puede que la empresa que la recoge no haga un uso adecuado de la misma.
La empresa ha manifestado que la base de datos contenía únicamente "información secundaria, sobre todo estadísticas" y de tan solo "aproximadamente la mitad de nuestros usuarios". Es decir, imagina qué datos realmente están recogiendo.
Es evidente que para poner en marcha una aplicación como un teclado personalizado es necesario obtener cierta información sobre los usuarios, pero ¿realmente es necesaria tanta? Seguro que no.
La empresa ha decidido cambiar el nombre a la aplicación, que pasará a llamarse Matching Mobile Keyboard, no sabemos si a consecuencia de lo que ha ocurrido, que le ha dado una imagen nefasta.
Este tipo de incidentes, cada vez más frecuentes, deben hacernos reflexionar como usuarios en qué estamos entregando a cambio de un pequeño servicio gratuito y a quién.
Y como desarrolladores, viéndolo desde el otro lado, hay que considerar qué datos debemos realmente obtener, con qué objetivos y ser extremadamente cuidadosos con la seguridad.