Actualización: En declaraciones a la
BBC Fitusi ha afirmado que el servidor en cuestión era "una base de datos secundaria". Según el cofundador de AI.type, los datos de geolocalización no son precisos, que no se recoge información sobre el IMEI de los dispositivos (lo cual contradice las informaciones de Kromtech) y que la única información recogida sobre el comportamiento de los usuarios eran los anuncios sobre los que hacían clic.
Noticia original: El popular teclado virtual Ai.type se ha visto envuelto en la polémica después de filtrar información de carácter personal procedente de más de 31 millones de usuarios debido a un gravísimo fallo de seguridad. Según señala
Zdnet, esta información estaba albergada en un servidor propiedad de Eitan Fitusi, cofundador de la compañía. Dicho servidor carecía de contraseña alguna, por lo que cualquier persona ha podido acceder a una base de datos que contenía más de 577 GB de información que nunca debería haber quedado al descubierto.
El descubrimiento fue realizado por investigadores de la firma Kromtech Security Center. Según sus hallazgos, la base de datos solo parece contener detalles relacionados con la base de
usuarios de Android (AI.type también está disponible para iOS y los dispositivos de Amazon). Para hacernos una mejor idea de la magnitud de la filtración, AI.type afirma tener una base de usuarios de más de 40 millones de usuarios en todo el mundo.
Desde nombres y fotos a direcciones de e-mail y números de tercerosLa base de datos en cuestión incluye nombres de usuario, direcciones de correo electrónicos, el número de veces que se ha instalado la aplicación, pero también la localización del usuario por país y ciudad. Una información potencialmente interesante para cualquier criminal interesado en suplantar la identidad de una persona. De acuerdo con Zdnet, otras entradas son aún más detalladas. La versión gratuita de la aplicación recoge más información que la de pago al financiarse mediante publicidad.
Algunos de estos campos incluyen el IMSI y el número IMEI, el número de teléfono, el nombre del operador, direcciones IP y nombres de proveedores de servicios (en algunos casos de conexión a redes Wi-Fi), la marca y el modelo del teléfono, listas con las aplicaciones instaladas, la resolución de su pantalla y la versión de Android. Asimismo, la base de datos incorpora información disponible públicamente en los perfiles de Google, tal puede ser el caso de direcciones de e-mail, fechas de nacimiento, sexo y fotos de perfil.
También es preocupante el hecho de que AI.type ha dejado al descubierto los números de teléfono de personas que nunca han llegado a utilizar su teclado. Varias tablas incluyen listines enviados por los dispositivos de los usuarios, incluyendo una con 374,6 millones de números de contacto y otra con 10,7 millones de direcciones de e-mail. Se desconoce por qué motivo AI.type accedió a esta información..
Por si esto no fuera suficiente, Zdnet y Kromtech han podido comprobar que una tabla en la base de datos contenía más de 8,6 millones de entradas de texto introducidas desde el teclado virtual. AI.type asegura que nunca comparte los datos de los usuarios ni recogen sus contraseñas, pero entre dicha información había datos como búsquedas en Internet, así como direcciones de correo electrónico y contraseñas concatenadas.
AI.type no ha querido realizar declaraciones al respecto y Fitusi, que ya ha asegurado el servidor, no ha respondido a las preguntas de Zdnet para aclarar los hechos.
Fuente: Zdnet