Una sorprendente fuga de datos de la aplicación Key Ring ha expuesto a 14 millones de usuarios

Si aún cree que las filtraciones de datos serias no son tan comunes, tenemos una historia que podría estar a punto de cambiar de opinión. En enero, un equipo de investigadores dirigido por Noam Rotem y Ran Locar encontró un depósito de AWS S3 mal configurado que exponía una gran cantidad de información. Desafortunadamente, en su artículo para vpnMentor, los expertos admitieron que estaban tan ocupados informando otras filtraciones de datos en ese momento, que no pudieron investigar inmediatamente el problema y notificar a las personas responsables de la exposición. No fue sino hasta aproximadamente un mes después que finalmente comenzaron a trabajar en esta fuga en particular.

Los proveedores de servicios todavía están luchando para familiarizarse con los mecanismos de seguridad ofrecidos por las soluciones de almacenamiento en la nube, y las fugas aparecen a la izquierda, a la derecha y al centro. Los expertos no pueden mantenerse al día y, como siempre, el usuario desprevenido tiene que soportar las consecuencias. En este caso, las posibles consecuencias fueron enormes.

La aplicación Key Ring expone las billeteras digitales de los usuarios al mundo entero

El primer cubo que encontraron los investigadores contenía la friolera de 44 millones de imágenes. Son muchos datos, pero la parte verdaderamente impactante es la naturaleza de la información expuesta. Una vez que encontraron el tiempo para investigar, los investigadores descubrieron que el cubo S3 mal configurado pertenecía a Key Ring, una aplicación móvil que le brinda, entre otras cosas, la opción de digitalizar la mayoría de los contenidos de su billetera. Le permite fotografiar y almacenar copias virtuales de artículos como tarjetas de membresía y tarjetas de regalo. Algunos de los 14 millones de personas que usan la aplicación también han subido escaneos de sus tarjetas de crédito y documentos de identificación personal. Mientras lo hacían, probablemente pensaron que sus datos se almacenarían de forma segura. Estaban equivocados.

El paquete S3 mal configurado contenía escaneos de tarjetas de crédito, tarjetas de membresía y lealtad, tarjetas de cannabis medicinal, licencias de conducir y otros documentos de identificación. Las imágenes se almacenaron completamente a la vista, y fueron accesibles desde cualquier parte del mundo. Ya puede ver qué tan grave puede afectar la fuga a los usuarios. Desafortunadamente, ese no fue el final.

Los cubos S3 mal configurados de Key Ring filtraron toneladas de información personal

En el mismo grupo, los investigadores encontraron algunos archivos CSV que contenían información de identificación personal (PII) que pertenece a millones de personas. Estas personas estaban en las listas de membresía de socios de Key Ring como Walmart, y las listas contenían una miríada de detalles personales como nombres, direcciones, fechas de nacimiento, etc.

Después de hurgar un poco más, el equipo de Noam Rotem y Ran Locar localizó cuatro cubos S3 más mal configurados asociados con Key Ring. Contenían instantáneas antiguas de la base de datos de la aplicación y exponían, entre otras cosas, las direcciones de correo electrónico y domiciliarias de los usuarios, IP, información del dispositivo, etc. Las bases de datos también contenían contraseñas que, según los investigadores, estaban "encriptadas". Desafortunadamente, el mecanismo para mezclarlos sigue sin estar claro.

También se desconoce si los investigadores fueron los únicos que lograron encontrar los datos expuestos. El 18 de febrero, finalmente lograron ponerse en contacto con Key Ring y Amazon, y dos días después, los cubos se desconectaron, pero en este punto, no sabemos cuándo se colocaron en primer lugar. Desafortunadamente, debemos señalar que aunque la información se aseguró con relativa rapidez, la actitud de Key Ring hacia el incidente es apenas ejemplar.

Cuando se producen fugas como esta, los usuarios esperan recibir notificaciones individuales que les digan lo que sucedió y lo que deben tener en cuenta. Mientras tanto, el público en general espera un anuncio oficial del vendedor, que también proporciona detalles sobre el incidente y las precauciones tomadas para garantizar que no vuelva a suceder. Con Key Ring, no hemos visto ninguna de estas cosas.

El volumen de los datos expuestos, junto con la falta de una respuesta oficial, significa que no podemos hacer nada más que asumir que los 14 millones de usuarios de Key Ring están afectados. Si eres uno de ellos, debes ser mucho más cauteloso de lo que normalmente eres, especialmente si has almacenado datos confidenciales con la aplicación.