Sobre la inseguridad de DuckDuckGo [2017]

Sobre la inseguridad de DuckDuckGo [2017]

Voy a ir directamente a la evidencia, sin comentar demasiado, las fuentes están al pie del artículo, los textos de enlaces externos están directamente traducidos de Google con alguna pequeña modificación de interpretación (el texto original se mantiene).

Versión corta:

El dueño de DuckDuckGo (Gabriel Weinberg) lleva años creando empresas destinadas a la recopilación de datos de usuarios para su posterior reventa, la web recopila información y modifica los enlaces a páginas de venta incluyendo códigos de afiliados; además de ello, el buscador tiene fallos (o mejoras, según se mire) relacionados con el TLS Termination Proxy o en otras palabras: El contenido parece ser transportado de forma segura, pero no es así; la web guarda tu historial y de alguna manera su servidor es capaz de procesar tus datos de navegación y localización sin tener esos módulos activados, o mejor explicado: Ese supuesto "fallo tonto" permite a un tercero a DuckDuckGo ver todo lo que buscas.

Versión larga:

Extracto de la Wikipedia en español e inglés:

DuckDuckGo fue fundado por Gabriel Weinberg, un empresario cuya última empresa The Names Database fue adquirida por United Online (NASDAQ:UNTD) en el 2006 por 10 millones de dólares. (1)

Names Database es una red social propiedad de United Online. A diferencia de la mayoría de las redes sociales, requiere que los nuevos registros incluyan cinco direcciones de correo electrónico de amigos o conocidos. El sitio comprueba inmediatamente la validez de las direcciones, evitando así el fraude. Para obtener el acceso completo al sitio, los usuarios deben enviar más de 20 direcciones de correo electrónico o comprar una suscripción de 12 dólares.

Más adelante me encuentro:

La compañía fue adquirida por Classmates.com por 10 millones de dolares, Gabriel Weinberg (fundador de DuckDuckGo), transfirió la responsabilidad y los deberes a una compañía más grande (???) en Marzo del 2006. La base de datos tenía unos 20 millones de usuarios en el momento de la venta, lo que significa que las direcciones de correo electrónico fueron compradas por alrededor de 50 céntimos por usuario.

Wikipedia 2011 DuckDuckGo

¡UN MOMENTO! No encuentro esa información en la Wikipedia, te la has inventado. No, al contrario, esa información fue borrada, editada y reeditada, sugiero que se vea el historial de cambios:

Name database 2006 Wikipedia

(Como nota, tengo que decir que los apellidos de todos los actores de este entramado me parecen muy curiosos)

Continuo con el extracto de Wikipedia:

"Inicialmente si se quería acceder a la base de datos, se debía proporcionar cinco direcciones de correo electrónico, generalmente estas eran pertenecientes a amigos o familiares. Después del registro, se pueden buscar todos los nombres de todas las personas en la base de datos. Sin embargo, para ello se requieren la introducción de 25 direcciones verificables o pagar una cuota de suscripción. A partir de octubre de 2006, las suscripciones se pueden comprar por períodos de uno o tres años.

Antes de ingresar los datos se debe tener en cuenta el siguiente riesgo de privacidad: “Usted otorga a Opobox un derecho no exclusivo, mundial, perpetuo, irrevocable, transferible, libre de regalías para (a) utilizar, copiar, distribuir, transmitir, publicar, realizar públicamente, reproducir, editar, modificar, traducir y reestructurar su información en cualquier medio que se conoce o no se conoce actualmente"

Privacidad Name Database

Fuente: Wikipedia

Las política de recolección/privacidad de "Names Database" permiten que los datos se utilicen para spam. (2)

Name Database Análisis

Fuente : Wikipedia

Análisis

Al analizar su política de privacidad y como la web responde ante fallos, me encuentro con los siguientes problemas y contradicciones. Empecemos hablando de su política de privacidad citando fragmentos de la misma:

Texto original:

For these reasons, DuckDuckGo takes the approach to not collect any personal information. The decisions of whether and how to comply with law enforcement requests, whether and how to anonymize data, and how to best protect your information from hackers are out of our hands. Your search history is safe with us because it cannot be tied to you in any way.

Traducción de Google:

"Por estas razones, DuckDuckGo adopta el enfoque de no recopilar ninguna información personal. Las decisiones de como cumplir con las solicitudes judiciales, como anonimizar los datos y cómo proteger mejor su información de los piratas informáticos están fuera de nuestro alcanza. Su historial de búsquedas es seguro para nosotros porque no puede estar vinculado a usted de ninguna manera."

Texto original:

Similarly, we may add an affiliate code to some eCommerce sites (e.g. Amazon & eBay) that results in small commissions being paid back to DuckDuckGo when you make purchases at those sites. We do not use any third parties to do the code insertion, and we do not work with any sites that share personally identifiable information (e.g. name, address, etc.) via their affiliate programs. This means that no information is shared from DuckDuckGo to the sites, and the only information that is collected from this process is product information, which is not tied to any particular user and which we do not save or store on our end.

Traducción de Google:

"Del mismo modo, podemos añadir un código de afiliado (imagino que Weinberg será familiar del administrador de ForoCoches) a algunos sitios de comercio electrónico (por ejemplo, Amazon y eBay) que se traduce en pequeñas comisiones las cuales se devuelven a DuckDuckGo cuando realiza compras en esos sitios (Confío en que Weinberg haya configurado correctamente el servidor para que Amazon no reciba mi información en POST). No utilizamos ningún tercero para hacer la inserción del código y no trabajamos con ningún sitio que comparta información personalmente identificable (por ejemplo, nombre, dirección, etc.) a través de sus programas de afiliados. Esto significa que no se comparte ninguna información de DuckDuckGo a estos sitios y la única información que se recopila de este proceso es la información del producto, que no está vinculada a ningún usuario en particular y que no guardamos ni guardaremos en nuestro sitio.”

  • "No tenemos nada que compartir"
  • "Adopta el enfoque de no recopilar ninguna información personal."
  • "Y la única información que se recopila de este proceso es la información del producto"
  • "Su historial de búsquedas está seguro con nosotros"
  • "Porque no puede vincular a usted de ninguna manera."

Texto original:

It's sort of creepy that people at search engines can see all this info about you, but that is not the main concern. The main concern is when they either a) release it to the public or b) give it to law enforcement.

Traducción de Google:

"Es espeluznante que los motores de búsqueda puedan ver toda esta información acerca de ti, pero ésta no suele ser la principal preocupación. La principal preocupación es cuando a) Esta información sea liberada al público o b) Se dé la información a los cuerpos de inteligencia y fuerzas de seguridad de cualquier estado."

Imagino que también estará la opción (que este señor lleva haciendo toda su vida):

Opción c) Vendérselo a un tercero.

Entonces…

Si ninguna información es compartida por DuckDuckGo a otros sitios, no guardas ningún dato mio… pero… mi historial si lo guardas, pero no puedes relacionarlo conmigo, pero de alguna manera mágica pones códigos de afiliados y "la única información que se recopila de este proceso es la información del producto", pero me encuentro con esto:

¿Tengo que pensar que de alguna manera tu servidor web procesa mi IP pero no, pero sí, pero era broma?

Vamos a retroceder un poco en el tiempo y ver como DuckDuckGo llegó a donde está

  • DuckDuckGo, una web misteriosa aparece de la nada, hecha por Mr Weinberg.

Nos promete el oro y el moro: Privacidad, respeto y no reventa. ¿Pero podemos fiarnos de que no va a volver a vender nuestros datos?

  • Una compañía basada en USA, pero no solo eso, si no basada en Utah (USA tiene unas penosas leyes de privacidad, pero las de Utah son aun peores). Una vez más nos promete el cielo, ¿pero puede cumplir esas promesas en las leyes de dicho país?

  • Un año después de su lanzamiento es mencionada en Times Magazine: “Es como el nuevo Google”. Una compañía salida de la nada, que inmediatamente es introducida en TorBrowser, y en poco tiempo recibe cabida en Times. ¡Ya quisiera yo tener esos contactos!

  • ¡No te rastreamos, confía en nosotros!, nos dice el pato, mientras nos muestra resultados en la barra de auto-completar. Pero espera un momento, ¿cómo funciona ese auto-completar si la información no es sacada de terceros y obviamente no recolecta la nuestra?

  • Nos muestra nuestra IP, nuestra localización, hasta nuestro User-Agent. ¿¡Pero cómo!?.

  • No recopila nuestra información, pero en realidad sí, y, solo para afiliados o para un uso comercial, ¡el patito es pobre (solo tiene unos cuantos millones de dolares, es muy duro vivir la vida de ese modo) y tiene que alimentar a su prole!. ¿Entonces? ¿Donde está hosteado? Ahhh, en Amazon, ¡todo queda con la seguridad familiar de la computación en nube pues!

Fuentes:

Nota: Artículo de principios del 2017, puede que algunas cosas cambiarán pero son cosas pasadas algunas veces revelan algo de luz sobre cosas desconocidas por la mayoría de vosotros. Este post solo tiene la intención de informar.