La app para Android
"Ai.Type" almacenaba los datos de sus usuarios en un MongoDB mal
configurado accesible desde Internet. Entre la información se encuentran
nombres completos, contactos, números de teléfono, números IMEI.
La noticia ha sido
desvelada por Kromtech Security Center, la cual ha afirmado haber encontrado en
la base de datos expuesta información de 31.293.959 usuarios, con un tamaño de
577 GiB. No sólo resulta especialmente grave la nula seguridad con la que se
almacenaba la información, sino también el tipo de datos que se registraban,
entre los que se encuentran:
- Número de
teléfono, direcciones email y nombre completo del dueño.
- Nombre la red,
número IMSI (Identidad Internacional del Abonado a un Móvil) y número IMEI
(Identidad Internacional de Equipo Móvil).
- Nombre del
dispositivo, modelo, resolución de pantalla y versión de Android.
- Idiomas habilitados
y país de residencia.
- Información
asociada a las redes sociales como cumpleaños, título, emails, foto, ip y
coordenadas GPS.
También habría una
base de datos con 373 millones registros asociados a los contactos de los
afectados, entre los que se encontrarían nombres y números de teléfono. Además,
hay otra base de datos llamada "old database" con 753 mil registros,
de lo que podría haber sido una prueba en la que registraban las búsquedas de
Google más populares por regiones, mensajes por día, palabras por mensaje,
palabras por día, palabras por sesión, o la edad de sus usuarios.
Es necesario tener
especial cuidado con las bases de datos MongoDB expuestas en Internet, y
especialmente con aquellas que fueron creadas antes de la versión 2.6.0. Antes
de esta versión, la configuración por defecto no restringía las conexiones a
'localhost'; y por si fuese poco, no era necesario autenticarse. Tener una
versión de MongoDB igual o posterior a dicha versión no nos asegura de estar
protegidos, puesto que podemos tener todavía una configuración desactualizada.
Más información:
- MacKeeper Security research center: https://mackeepersecurity.com/post/virtual-keyboard-developer-leaked-31-million-of-client-records
- The MongoDB hack and the importance of secure
defaults: https://snyk.io/blog/mongodb-hack-and-secure-defaults/
Fuente: Hispasec