La aplicación para adolescentes TeenSafe filtra miles de IDs de usuario y contraseñas
Al menos un servidor utilizado por una aplicación para que los padres supervisen la actividad telefónica de sus hijos adolescentes ha filtrado decenas de miles de cuentas de padres e hijos.
La aplicación móvil, TeenSafe, se anuncia como una aplicación de monitoreo "seguro" para iOS y Android, que permite a los padres ver los mensajes de texto y la ubicación de sus hijos, controlar a quién llaman y cuándo, acceder a su historial de navegación web y averiguar qué aplicaciones que han instalado.
Aunque las aplicaciones de monitoreo para adolescentes son controvertidas e invasoras de la privacidad, la compañía dice que no requiere que los padres obtengan el consentimiento de sus hijos.
Pero la compañía con sede en Los Angeles, California, dejó sus servidores, alojados en la nube de Amazon, sin protección y accesibles por cualquier persona sin una contraseña.
Robert Wiggins, un investigador de seguridad con sede en el Reino Unido que busca datos públicos y expuestos, encontró dos servidores con fugas.
Ambos servidores se desconectaron después de alertaran a la compañía, incluido el otro que contiene lo que parecen ser solo datos de prueba.
"Hemos tomado medidas para cerrar uno de nuestros servidores al público y comenzamos a alertar a los clientes que podrían verse potencialmente afectados", dijo un portavoz de TeenSafe.
La base de datos almacena la dirección de correo electrónico de los padres asociada con TeenSafe, así como la dirección de correo electrónico de Apple ID de su hijo correspondiente. También incluye el nombre del dispositivo del niño, que a menudo es solo su nombre, y el identificador único de su dispositivo. Los datos contienen las contraseñas de texto claro para la identificación de Apple del niño. Debido a que la aplicación requiere que la autenticación de dos factores esté desactivada, un actor malintencionado que vea estos datos solo necesita usar las credenciales para entrar en la cuenta del niño y acceder a sus datos de contenido personal.
Ninguno de los registros contenía datos de contenido, como fotos o mensajes, ni las ubicaciones de padres o hijos.
Los datos también contenían mensajes de error asociados con una acción de cuenta fallida, como si un padre que buscara la ubicación de un niño en tiempo real no se completara.
Poco antes de que el servidor se desconectara, había al menos 10.200 registros de los últimos tres meses que contenían datos de clientes, pero algunos son duplicados.
Uno de los servidores parecía almacenar datos de prueba, pero no se sabe si hay otros servidores expuestos con datos adicionales.
TeenSafe afirma tener más de un millón de padres usando el servicio.
El equipo de Znet que encontró el fallo verifico algunos de los datos hablando con aquellas personas cuyas direcciones de correo electrónico aparecían en los datos filtrados.
Tan pronto como pudieron se pusieron en contacto con una docena de personas a través de iMessage, uno por uno, para confirmar si esas realmente eran sus contraseñas. No todos respondieron. Pero varias personas, padres de niños que usan la aplicación, confirmaron sus direcciones de correo electrónico y contraseñas, o que se cambió recientemente en el último mes.
Los padres también confirmaron la dirección de correo electrónico de su hijo, utilizada como su ID de Apple.
Si bien no nos pusimos en contacto con los niños por temor a causar alarma, algunas de las direcciones de correo electrónico se asociaron con sus escuelas secundarias.
No está claro por qué los datos, y menos las contraseñas para los ID de Apple de los adolescentes, se almacenaron en texto plano.
La compañía afirma en su sitio web que es "seguro" y utiliza el cifrado para codificar los datos, como en el caso de una violación de datos.
TeenSafe dijo que seguía evaluando la situación y que "proporcionará información adicional" a medida que esté disponible.