Whisper, una aplicación de redes sociales que promete anonimato, expone 900 millones de registros de usuarios
La diferencia entre Whisper y las plataformas de medios sociales más convencionales como Facebook o Twitter es que no necesita ingresar ninguna información personal para usarla. En su lugar, simplemente elige un nombre de usuario, indica la edad que tienes y puedes compartir libremente tus pensamientos. Al tratarse de una red social, otras personas pueden verlos, pero no tienen idea de quién los escribió.
Table of Contents
Whisper dejó 900 millones de registros de usuarios en una base de datos desprotegida
Debido al anonimato prometido, se alienta a los usuarios a publicar cosas que normalmente evitarían publicitar, y se les dice que al usar Whisper, están compartiendo sus secretos más profundos en "el lugar más seguro de Internet". Es una afirmación audaz que suena algo extraña cuando considera que el sitio web oficial de la aplicación se carga a través de HTTP en lugar de HTTPS de forma predeterminada. Se vuelve aún más extraño cuando te das cuenta de que la misma aplicación dejó una base de datos con no menos de 900 millones de registros de usuarios expuestos a Internet.
El descubrimiento fue realizado la semana pasada por investigadores de Twelve Security. El clúster Elasticsearch de 5 TB era accesible para cualquier persona conectada a Internet, no estaba protegido por una contraseña y parte de la información contenida en él se remontaba al lanzamiento de Whisper en 2012.
¿La exposición de datos fue tan grave?
Poco después de descubrir la base de datos, los expertos de Twelve se contactaron con el FBI y The Washington Post. The Post los ayudó a ponerse en contacto con MediaLab, el desarrollador de la aplicación, y el lunes, la base de datos se desconectó. A pesar de la reacción relativamente rápida, MediaLab argumentó que no hay nada demasiado preocupante sobre la fuga.
Según los representantes que hablaron con The Washington Post, los usuarios decidieron compartir la mayoría de los datos dentro de la aplicación Whisper de todos modos, lo que significaba que, aunque no se suponía que sucediera, la exposición no era un gran problema. Hablaban de los millones de publicaciones de usuarios que se filtraron, y su argumento fue que la filtración no puso el anonimato de los usuarios en peligro inmediato. Los expertos en seguridad, sin embargo, no estaban tan seguros.
La base de datos con fugas no contenía ningún nombre, pero contenía la edad, el sexo, la ciudad natal, el apodo y la membresía grupal de los usuarios individuales. Si alguien intentara descubrir la identidad de un usuario de Whisper, esos datos podrían haber reducido significativamente las posibilidades. Combine esto con el hecho de que también se reveló la última ubicación conocida de los usuarios afectados, y verá que vincular una publicación filtrada a una persona real estaba lejos de ser imposible. Después del informe de The Post, The Register también se puso en contacto con los investigadores y se dio cuenta de que el rango de metadatos expuestos era incluso mayor de lo inicialmente previsto. Resulta que los tokens de contraseña también se incluyeron en la base de datos, y los investigadores confirmaron que, al usarlos, podían iniciar sesión en las cuentas de las personas. De repente, el problema parecía mucho más grande de lo que los representantes de MediaLab le harían creer. Para aquellos de ustedes que siguen de cerca las noticias sobre la aplicación Whisper, este podría ser un momento de déjà vu.
Esta no es la primera controversia relacionada con la seguridad en torno a Whisper
En 2014, los periodistas de Guardian fueron invitados a la sede de Whisper para discutir una posible asociación entre el medio de comunicación y la aplicación de redes sociales. Mientras estaban allí, se enteraron de que Whisper tenía mecanismos establecidos para rastrear la ubicación de las personas, incluso cuando los usuarios habían optado explícitamente por esto.
Después de que salió el informe, los representantes de la red social negaron todas las acusaciones y acusaron públicamente al periódico británico de publicar mentiras. Finalmente, dichos representantes fueron despedidos, y el seguimiento aparentemente se detuvo.
En este momento, los empleados de MediaLab intentan una vez más convencer al público de que las cosas no son tan malas como sugieren los informes de noticias, y desafortunadamente, tenemos que decir que realmente no han hecho lo suficiente para asegurarnos que esto es más que un simple intento para minimizar la seriedad de la situación.
