Filtran la información personal de 31 millones de usuarios del teclado virtual Ai.type
Los datos de los 31 millones de usuarios de Android que tiene el teclado virtual para móviles Ai.type se han filtrado después de que la empresa encargada de su desarrollo no protegiera adecuadamente el servidor de bases de datos MongoDB en el cual se apoyaba la aplicación.
Ai.type es un teclado virtual con versiones para Android e iOS que se distribuye bajo un modelo freemium, aunque la mayoría de sus usuarios utilizan Android. Según sus desarrolladores, Ai.type puede aprender sobre el estilo de escritura del usuario, pudiendo incluso insertar emojis de forma automática.
Al parecer, el servidor de bases de datos online no estaba protegido por ninguna forma de autenticación, por lo que era accesible por cualquiera que lo localizase. En total, las bases de datos filtradas de Ai.type ocupaban 577 gigabytes, una enorme cantidad de datos que podían ser accedidos y obtenidos sin necesidad de saber ninguna contraseña. Ente lo filtrado hay nombres reales, direcciones de email e información sobre el dispositivo como números IMEI e IMSI, la resolución de la pantalla y el modelo exacto con su fabricante.
También se han filtrado otros datos que se pueden considerar bastante personales, como la localización del usuario, su número de teléfono, su proveedor de servicios telefónicos, además de la dirección IP y el ISP de banda ancha para el hogar en caso de haber utilizado Ai.type mientras se estaba conectado mediante Wi-Fi. De forma incomprensible, a todo lo mencionado se suma una lista de las aplicaciones instaladas en el smartphone, por lo que también se pueden saber la aplicaciones bancarias utilizadas por el usuario. Para dar números concretos, en una tabla se encontraron 10,7 millones de direcciones de email, mientras que otra contenía 374,6 millones de números de teléfono.
Si la cantidad de datos filtrada puede parecer enorme, la guinda del pastel la ponen las contraseñas. Desde los desarrolladores de Ai.type niegan que su aplicación estuviese recolectando ese dato, pero ciertas voces avisan que las contraseñas de los usuarios sí han sido filtradas. La posibilidad que se baraja es que muchos usuarios han estado escribiendo erróneamente su contraseña en el campo del email, lo que posiblemente haya permitido a la aplicación registrarla en las bases de datos online que utiliza. Sin embargo, otros insisten en una mala configuración de la aplicación Ai.type que ha permitido su recolección.
Los usuarios de iOS no se han visto afectados por este incidente, mientras que ha impactado a los de Android a distintos niveles, ya que los que usan Ai.type de forma gratuita se han visto más afectados al desplegárseles publicidad dirigida, revelando así más información sobre ellos. A los usuarios de pago no se les muestra publicidad, por lo que no se ha podido recolectar información desde ahí.
Los servidores de bases de datos MongoDB mal configurados ya dieron problemas a principios de año por un hacker que se dedicó a secuestrarlos para luego pedir rescates. Para evitar a toda costa ese tipo de situaciones, los desarrolladores de MongoDB han hecho obligar a establecer mecanismos de autenticación cuando el servidor de bases de datos funciona online a partir de la versión 3.6.
Fuente: muyseguridad