Una violación de datos de Peekaboo Moments expone fotos y videos de bebés

Peekaboo Moments Data Leak

Cuando los especialistas en seguridad le dicen que cualquiera puede ser víctima de una violación de datos, no están exagerando con la esperanza de poner a todos en un estado de pánico innecesario. Dan Ehrlich, de una empresa de consultoría de seguridad llamada Twelve Security, descubrió recientemente una base de datos bastante grande, que demostró que ni siquiera necesita saber cómo usar un dispositivo electrónico para comprometer su privacidad.

La base de datos en cuestión estaba alojada en servidores propiedad de Alibaba Cloud, y contenía aproximadamente 100 GB de información recopilada entre marzo de 2019 y enero de 2020. Había mucho de qué preocuparse, pero Ehrlich estaba especialmente preocupado cuando encontró enlaces que conducían a lo que parecían fotos y videos de bebés. Después de una breve investigación, se dio cuenta de que los datos se filtraban de Peekaboo Moments, una aplicación móvil que ayuda a los padres a seguir el crecimiento de sus hijos.

Momentos Peekaboo expone toneladas de datos personales

Ehrlich se puso en contacto con Jeremy Kirk de Information Security Media Group, quien trató de ayudar con la divulgación responsable del incidente. Los dos examinaron la base de datos expuesta y descubrieron que contenía más de 70 millones de archivos de registro, que, además de enlaces a fotos y videos, contenían todo tipo de información personal que pertenecía tanto a los padres como a los bebés. Las direcciones de correo electrónico asociadas con "al menos" 800 mil cuentas de Peekaboo Moments se encontraron en los datos, y también las claves API que permitieron a los usuarios conectar la aplicación a sus perfiles de Facebook. Armado con esta información, un hacker podría acceder a la información compartida en la red social de Mark Zuckerberg, y el ataque se hizo aún más fácil porque Peekaboo Moments expuso algunas de sus propias claves API.

Los registros también contenían estadísticas de uso y una cantidad preocupante de información relacionada con bebés en todo el mundo. Además de fotos y videos, la base de datos filtró las fechas de nacimiento de los recién nacidos, así como información sobre su peso y estatura. Los datos del GPS también se filtraron, lo que habría permitido a los atacantes determinar la ubicación precisa de los niños.

¿Cómo terminó Peekaboo Moments en este desastre?

Si lees el material de marketing en la página de Google Play de Peekaboo Moments, te quedará la impresión de que Bithouse, Inc., el desarrollador de la aplicación, es plenamente consciente de lo importante que es mantener la privacidad de los datos de los usuarios. Los hechos, sin embargo, sugieren lo contrario.

La información filtrada se colocó en un servidor Elasticsearch desprotegido al que podía acceder cualquier persona con un navegador y una conexión a Internet. Bithouse está lejos de ser la única compañía que ha cometido este error, pero el hecho de que haya muchos otros delincuentes realmente no puede servir como factor de mitigación de culpa, especialmente cuando se sabe que la seguridad de los bebés está en juego. Según Dan Ehrlich, la base de datos mal configurada es solo la punta del iceberg.

Le dijo a Information Security Media Group que "todo" sobre la aplicación está "extrañamente hecho y muy inseguro". Ehrlich no entró en demasiados detalles, pero estamos bastante seguros de que al menos algunas de sus críticas tienen algo que ver con el hecho de que, por defecto, se carga el sitio web oficial de Peekaboo Moments (completo con un formulario de inicio de sesión en la página de inicio) bajo HTTP en lugar de HTTPS.

Hablando del sitio web de la aplicación, si lo visita, encontrará un anuncio sobre la fuga de datos escrito por Jason Liu, CEO de Peekaboo Moments. Según el comunicado, la fuga fue causada por un servidor de registro mal configurado que contenía "una porción muy pequeña" de los datos de los usuarios. Liu se disculpó por la violación, prometió que su compañía intentará mejorar a partir de ahora e intentó convencer a todos de que, aparte de Ehrlich y Kirk, ninguna persona externa ha accedido a la base de datos. Aparentemente, los enlaces a las fotos y videos de los niños ya no están activos porque Bithouse aseguró la base de datos con fugas "poco" después de recibir el primer informe.

La versión de los eventos de Jeremy Kirk es un poco diferente. El informe de Information Security Media Group dice que múltiples intentos de ponerse en contacto con Jason Liu y su compañía terminaron sin éxito. Según Kirk, no fue hasta varias horas después de que salió la historia que Bithouse devolvió un correo electrónico para decir que el servidor es seguro.

Cualquiera sea el caso, la filtración de datos de Peekaboo Moments puede servir como prueba de que los incidentes de ciberseguridad pueden afectar incluso a los miembros más inocentes y vulnerables de nuestra sociedad. Esta violación en particular probablemente debería tenerse en cuenta la próxima vez que se pregunte qué aplicación debe usar para compartir fotos de su hijo.

En Duran
January 22, 2020
News
Spanish
January 22, 2020
News

Entradas populares

Microsoft advierte que los actores de amenazas respaldados por...

Hace 4 days

Troyano Al11 Detección de malware

Hace 11 months

Pinaview es una aplicación de adware con todas las funciones

Hace 10 months

Ventanas emergentes "Tu iCloud está siendo pirateado" y "Tu...

Hace 7 months

¿Qué es Lucky Ransomware?

Hace 7 months

Estafa por correo electrónico 'American Express - Actualice la...

Hace 6 months
Spanish
Cargando...

Cyclonis Backup Details & Terms

The Free Basic Cyclonis Backup plan gives you 2 GB of cloud storage space with full functionality! No credit card required. Need more storage space? Purchase a larger Cyclonis Backup plan today! To learn more about our policies and pricing, see Terms of Service, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.

Cyclonis Password Manager Details & Terms

FREE Trial: 30-Day One-Time Offer! No credit card required for Free Trial. Full functionality for the length of the Free Trial. (Full functionality after Free Trial requires subscription purchase.) To learn more about our policies and pricing, see EULA, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.

Casa

Productos

Cyclonis Backup Cyclonis Password Manager Cyclonis World Time

Soporte

Archivos de ayuda Preguntas frecuentes Downloads Inquiries & Support

Empresa

Sobre Nosotros Contact Us Report Abuse

Legal (Post Merger)

EnigmaSoft Limited (fka Cyclonis Limited)

Cyclonis Backup's Terms of Service Cyclonis Password Manager's EULA Cyclonis World Time's Terms of Service Política de privacidad Política de cookies Special Discount Offer Terms Additional Terms & Conditions SpyHunter EULA RegHunter EULA EnigmaSoft Privacy Policy & Cookie Policy ESG Privacy Policy & Cookie Policy EnigmaSoft Discount Offer Terms ESG Discount Offer Terms

© 2017-2024 Cyclonis Ltd. CYCLONIS is a trademark of EnigmaSoft Limited (Cyclonis was merged into EnigmaSoft Limited effective November 25, 2023.) All rights reserved.

Registered Office EnigmaSoft Limited: 1 Castle Street, 3rd Floor, Dublin 2 D02 XD82, Ireland.
EnigmaSoft Limited, Private Company Limited by shares, Company Registration Number 597114.

Windows es una marca comercial de Microsoft, registrada en EE. UU. Y otros países.
Mac, iPhone, iPad y App Store son marcas comerciales de Apple Inc., registradas en EE. UU. Y otros países.
iOS es una marca comercial registrada de Cisco Systems, Inc. y / o sus afiliadas en los Estados Unidos y algunos otros países.
Android y Google Play son marcas comerciales de Google LLC.