Una aplicación ha dejado al descubierto 130.000 nombres de usuario y correos electrónicos, otra aplicación ha desvelado 80.000 nombres de empresas, direcciones y balances bancarios.
Check Point Research (CPR), la división de Inteligencia de Amenazas de Check Point Software Technologies Ltd., un proveedor de soluciones de ciberseguridad a nivel mundial,encontró expuestos datos sensibles de una serie de aplicaciones, disponibles para cualquier persona con un navegador. Buscando en «VirusTotal», los investigadores identificaron 2.113 aplicaciones móviles cuyas bases de datos estaban sin protección a lo largo de una investigación de tres meses. VirusTotal, una filial de Google, es una herramienta online gratuita que analiza archivos y URLs para detectar virus, troyanos y otras formas de malware.
Las aplicaciones móviles oscilan entre las 10.000 y 10.000.000 de descargas. Entre la información sensible encontrada se encontraban mensajes de chat en populares aplicaciones de citas, fotos personales y de familia, identificaciones de tokens en una aplicación de salud, datos de plataformas de intercambio de criptomonedas, entre otros. Check Point Research advierte que es muy sencillo localizar conjuntos de datos y recursos críticos de las aplicaciones mediante la consulta de repositorios públicos, e insta a la industria a aplicar mejores prácticas de seguridad en la nube.
Las plataformas en la nube cambiaron la forma de trabajar de los desarrolladores y se han convertido en un estándar en el desarrollo de aplicaciones. Mientras escriben el código, invierten muchos recursos para reforzar una aplicación contra diversas formas de ataque. Sin embargo, los programadores pueden descuidar la configuración de la base de datos en la nube, dejándolas expuestas en tiempo real, lo que podría dar lugar a una brecha catastrófica si se explota.
A menudo, para hacer pruebas los diseñadores cambian manualmente las configuraciones bloqueadas y protegidas por defecto de las reglas de seguridad. Si se deja desbloqueada y desprotegida antes de lanzar la aplicación a producción, la base de datos queda abierta a cualquiera que pueda leer y escribir en ella.
Metodología de acceso
Para acceder a las bases de datos expuestas, la metodología es sencilla:
- Buscar las aplicaciones móviles que se comunican con los servicios en la nube en VirusTotal.
- Filtrar las que tienen acceso directo a los datos.
- Navegar en el enlace recibido.
