O Kinomap é o aplicativo mais recente para vazar informações devido ao terrível gerenciamento de banco de dados

Não é fácil enfrentar a pandemia de coronavírus e o bloqueio que ela nos impôs, mas todos que se sentem tentados a começar a reclamar não devem esquecer que poderia ter sido muito pior. Graças à tecnologia, muitas coisas que antes exigiam sair agora podem ser feitas no conforto de nossas próprias casas. Aplicativos como o Kinomap podem até nos ajudar a ficar em forma sem sair de casa, o que é especialmente importante dada a situação atual.

Infelizmente, a conveniência extra traz seu próprio conjunto de problemas. A cibersegurança é uma delas, e o triste fato é que não pensamos muito sobre isso. Pesquisadores do vpnMentor nos mostraram por que deveríamos tentar prestar mais atenção a ele.

O Kinomap deixou mais de 42 milhões de registros em um banco de dados desprotegido

Liderada por Noam Rotem e Ran Locar, a equipe de pesquisa do vpnMentor criou um projeto de mapeamento da web que verifica blocos de endereços IP e localiza dispositivos conectados que não estão configurados corretamente. A pesquisa já está em andamento há um tempo e resultou na descoberta e correção de alguns vazamentos de dados. O mencionado Kinomap é a aplicação mais recente a cair na mira dos pesquisadores.

No mês passado, eles descobriram um banco de dados de 40 GB que não estava protegido por senha. Uma rápida olhada permitiu que os pesquisadores soubessem que estavam analisando as informações coletadas pelo Kinomap e, após uma inspeção mais detalhada, perceberam que elas continham informações pessoais de cerca de 42 milhões de usuários.

Embora não tenham certeza, os especialistas do vpnMentor calculam que essa pode ser a base de usuários completa do Kinomap. Os indivíduos afetados estão espalhados por todo o mundo e precisam ter um cuidado extra, porque seu aplicativo de exercícios em casa expôs muitas informações sobre eles. Entre os detalhes vazados, os pesquisadores descobriram:

• Nomes
• Nomes de usuário do Kinomap
• Endereço de e-mail
• Países de origem

Os registros também incluíam informações de telemetria sobre como o aplicativo era usado, além de links para contas individuais. Isso, juntamente com os dados acima, poderia dar aos hackers a chance de organizar um sofisticado ataque de phishing.

Em alguns dos registros, os especialistas encontraram chaves de API, o que permitiria que os invasores assumissem contas inteiras.

Os desenvolvedores do Kinomap não são as primeiras pessoas a configurar mal um banco de dados conectado à Internet e provavelmente não serão os últimos. Nesses casos, é importante ver os prestadores de serviços e os fornecedores de software reconhecerem seus erros e tentar aprender com eles. As pessoas encarregadas do Kinomap, no entanto, adotaram uma abordagem diferente.

O Kinomap prefere não comentar no banco de dados configurado incorretamente

Os especialistas do vpnMentor descobriram o banco de dados mal configurado do Kinomap em 16 de março e, alguns dias depois, tentaram entrar em contato com o desenvolvedor. Depois de ouvir nada por menos de duas semanas, eles fizeram outra tentativa de divulgar o vazamento em 30 de março. Os pesquisadores queriam ter certeza de que alguém resolveria o problema, e é por isso que também informaram a Comissão Nacional de Informação e Liberdades ( CNIL), um regulador de privacidade na França, o país onde os desenvolvedores do Kinomap estão localizados. Em 12 de abril, o banco de dados foi finalmente retirado, e os pesquisadores pensam que isso provavelmente se deve ao envolvimento da CNIL.

Quando Lisa Vaas da Sophos entrou em contato com o Kinomap, os desenvolvedores do aplicativo finalmente responderam. A empresa disse que corrigiu a vulnerabilidade "imediatamente" após ser notificada, o que, como você pode ver, contrasta fortemente com o que os especialistas em segurança relataram. As instituições que aplicam o Regulamento Geral de Proteção de Dados da UE (GDPR) devem decidir se a reação dos criadores do Kinomap foi adequada.