Una importante base de datos de registro de chat perteneciente a la popular aplicación de mensajería JusTalk quedó desprotegida en la web durante meses, accesible para cualquiera que supiera dónde buscar.
El investigador de seguridad cibernética Anurag Sen descubrió la base de datos, que no tenía contraseña, almacenando datos sin cifrar, incluida mucha información de identificación personal, útil para los ciberdelincuentes que buscan involucrarse en el robo de identidad. (se abre en una pestaña nueva)ingeniería social u otras formas de ciberdelincuencia.
Los datos incluían los mensajes en sí, los números de teléfono de los usuarios (tanto del remitente como del receptor), los registros de llamadas, todo ordenado lo suficiente como para poder identificar personas específicas y conversaciones específicas.
Millones de víctimas potenciales
De hecho, mientras revisaba los registros, TechCrunch dice que logró encontrar a un pastor solicitando a una trabajadora sexual que publicó su número de teléfono. El registro incluía la hora, el lugar y el precio de la reunión.
La base de datos en sí tiene un tamaño de «cientos de gigabytes» y está alojada en un servidor de Huawei en China. Para acceder a él, lo único que necesitaría una persona es un navegador y su dirección IP. Con la ayuda del motor de búsqueda de bases de datos Shodan, el investigador descubrió que el servidor estaba almacenando nuevos datos en la base de datos desde enero de este año, cuando se expuso por primera vez.
Es imposible saber exactamente a cuántas personas se les han expuesto sus datos confidenciales en este error, pero sabemos que JusTalk tiene aproximadamente 20 millones de usuarios. También cuenta con JusTalk Kids, una app separada para menores, con más de un millón de descargas en Android.
Después de que Sen informó el problema a JusTalk, aparentemente cerró la base de datos, pero también decidió no comentar sobre los hallazgos.
Aparentemente, Sen tampoco fue el primero en descubrir esta base de datos, ya que contenía una nota de rescate, lo que significa que alguien había intentado usarla para extorsionar a la empresa, pero en este momento se desconoce si lo lograron o no.
Vía: TechCrunch (se abre en una pestaña nueva)