No corren buenos tiempos para todos aquellos que intentamos mantener a salvo nuestros datos en la Red. Si hace unos días veíamos como nuestras contraseñas de Twitter habían sido comprometidas, ahora es el turno de miles de daos privados de los usuarios, los cuales han quedado expuestos por culpa de TeenSafe, una app de iPhone que permite a los padres rastrear la actividad de sus hijos.
Si no conoces esta aplicación de iPhone significa que no la has instalado y estás a salvo de este grave problema. TeenSafe permite a los usuarios monitorear de forma segura todo lo que hacen sus hijos con el smartphone. La aplicación está disponible tanto para iOS como para Android para controlar los SMS, la ubicación, las llamadas o el historial de navegación web de los más pequeños de la casa. Sin embargo, son los usuarios de la app de iPhone los que han visto como se exponen sus datos privados.
ZDNet informa que los servidores de la aplicación, alojados en la plataforma en la nube de servicios web de Amazon, quedaron desprotegidos sin que la propia compañía se diera cuenta, lo que ha permitido a cualquiera con los conocimientos necesarios acceder a la base de datos de los usuarios de TeenSafe sin necesidad de una contraseña. Ante este problema la compañía ya ha anulado el acceso alegando que «hemos tomado medidas para cerrar uno de nuestros servidores al público y hemos comenzado a alertar a los clientes que podrían haberse visto potencialmente afectados».
Un riesgo para la privacidad
Según la información facilitada por los investigadores que ha descubierto el fallo de esta app de iPhone, la violación de datos incluye direcciones de correo electrónico de los usuarios con cuentas de TeenSafe, junto con otras credenciales y contraseñas de Apple de los niños, almacenados como texto plano pero al alcance de cualquiera que accediera a los servidores de la compañía. Otros datos que también se encontraron de libre acceso son el IMEI de los dispositivos registrados en la aplicación
Lo más curioso del asunto es que TeenSafe exige a los usuarios una autenticación de dos factores para ser desactivada, lo que significa que cualquier persona ha podido acceder a esas cuentas de Apple con solo las credenciales de inicio de sesión disponibles de los servidores afectados.
Por fortuna, pese a lo grave del asunto, ninguno de los registros contenía contenidos como fotos, mensajes o ubicaciones de las víctimas. En el momento de redactar estas líneas todos los servidores afectados han sido desactivados de inmediato.