11 dic. 2017

Expuestos datos de 31 millones de usuarios de un teclado virtual

La App para Android "Ai.Type" almacenaba los datos de sus usuarios en un MongoDB mal configurado accesible desde Internet. Entre la información se encuentran nombres completos, contactos, números de teléfono, números IMEI...

La noticia ha sido desvelada por MacKeeper Security Research Center, la cual ha afirmado haber encontrado en la base de datos expuesta información de 31.293.959 usuarios, con un tamaño de 577 GiB. No sólo resulta especialmente grave la nula seguridad con la que se almacenaba la información, sino también el tipo de datos que se registraban, entre los que se encuentran:
  • Número de teléfono, direcciones email y nombre completo del dueño.
  • Nombre la red, número IMSI (Identidad Internacional del Abonado a un Móvil) y número IMEI (Identidad Internacional de Equipo Móvil).
  • Nombre del dispositivo, modelo, resolución de pantalla y versión de Android.
  • Idiomas habilitados y país de residencia.
  • Información asociada a las redes sociales como cumpleaños, título, emails, foto, ip y coordenadas GPS.
También habría una base de datos con 373 millones registros asociados a los contactos de los afectados, entre los que se encontrarían nombres y números de teléfono. Además, hay otra base de datos llamada "old database" con 753 mil registros, de lo que podría haber sido una prueba en la que registraban las búsquedas de Google más populares por regiones, mensajes por día, palabras por mensaje, palabras por día, palabras por sesión, o la edad de sus usuarios.
Es necesario tener especial cuidado con las bases de datos MongoDB expuestas en Internet, y especialmente con aquellas que fueron creadas antes de la versión 2.6.0. Antes de esta versión, la configuración por defecto no restringía las conexiones a 'localhost'; y por si fuese poco, no era necesario autenticarse. Tener una versión de MongoDB igual o posterior a dicha versión no nos asegura de estar protegidos, puesto que podemos tener todavía una configuración desactualizada.

Fuente: Hispasec

0 comentarios:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info
Si vas a dejar una consulta, procura tener habilitado tu perfil en Blogger o deja una forma de contacto.

Gracias por comentar!