Descubren más de 2.000 bases de datos de apps móviles desprotegidas
Entre las soluciones afectadas se encuentran algunas con más de 10 millones de descargas.
Check Point ha descubierto más de 2000 bases de datos almacenadas en la nube que se encuentran desprotegidas y, por tanto, están a merced de la acción de los ciberdelincuentes.
Esta compañía de seguridad ha identificado, concretamente, 2113 aplicaciones móviles cuyas bases de datos estaban sin protección y que se encuentran disponibles para cualquier internauta.
En una investigación que ha durado tres meses, buscando en la herramienta online VirusTotal, ha encontrado fallos en soluciones que tienen entre 10 000 y 10 millones de descargas. La información expuesta va desde mensajes de chat en aplicaciones de citas a fotografías personales y de familia, identificaciones de tokens sobre salud, datos de plataformas de intercambio de criptomonedas…
Por ejemplo, una de las aplicaciones afectadas, que pertenece a unos grandes almacenes, pone en riesgo credenciales de la pasarela y clave de la API. Tiene más de 10 millones de descargas, coal igual que una solución de diseño de logotipos que ha terminado con nombres de usuario, emails y contraseñas expuestos.
Una de las aplicaciones analizadas ha dejado al descubierto 130 000 nombres de usuario y correos electrónicos, otra ha desvelado 80 000 nombres de empresas, direcciones y balances bancarios
“En esta investigación se demuestra lo fácil que es localizar conjuntos de datos y recursos críticos que están abiertos en la nube para cualquiera que pueda acceder a ellos sencillamente navegando“, expone Eusebio Nieva, director técnico de Check Point Software para España y Portugal.
“La metodología consiste en buscar en repositorios públicos de archivos como VirusTotal aplicaciones móviles que utilicen servicios en la nube“, explica. “Un atacante puede consultar en VirusTotal la ruta completa al back-end en la nube de una aplicación móvil. Por ello, mostramos algunos ejemplos de lo que pudimos encontrar allí nosotros. Todo está disponible para cualquiera”.
“En definitiva”, dice Nieva, “con esta investigación demostramos lo sencillo que es que se produzca una filtración o explotación de datos. La cantidad de datos que se encuentra al descubierto y que está a disposición de cualquiera en la nube es mucho más fácil de vulnerar de lo que pensamos”.