El teclado virtual AI.type filtra los datos personales de 31 millones de usuarios

Actualización: En declaraciones a la BBC Fitusi ha afirmado que el servidor en cuestión era "una base de datos secundaria". Según el cofundador de AI.type, los datos de geolocalización no son precisos, que no se recoge información sobre el IMEI de los dispositivos (lo cual contradice las informaciones de Kromtech) y que la única información recogida sobre el comportamiento de los usuarios eran los anuncios sobre los que hacían clic.

Noticia original: El popular teclado virtual Ai.type se ha visto envuelto en la polémica después de filtrar información de carácter personal procedente de más de 31 millones de usuarios debido a un gravísimo fallo de seguridad. Según señala Zdnet, esta información estaba albergada en un servidor propiedad de Eitan Fitusi, cofundador de la compañía. Dicho servidor carecía de contraseña alguna, por lo que cualquier persona ha podido acceder a una base de datos que contenía más de 577 GB de información que nunca debería haber quedado al descubierto.

El descubrimiento fue realizado por investigadores de la firma Kromtech Security Center. Según sus hallazgos, la base de datos solo parece contener detalles relacionados con la base de usuarios de Android (AI.type también está disponible para iOS y los dispositivos de Amazon). Para hacernos una mejor idea de la magnitud de la filtración, AI.type afirma tener una base de usuarios de más de 40 millones de usuarios en todo el mundo.


Desde nombres y fotos a direcciones de e-mail y números de terceros

La base de datos en cuestión incluye nombres de usuario, direcciones de correo electrónicos, el número de veces que se ha instalado la aplicación, pero también la localización del usuario por país y ciudad. Una información potencialmente interesante para cualquier criminal interesado en suplantar la identidad de una persona. De acuerdo con Zdnet, otras entradas son aún más detalladas. La versión gratuita de la aplicación recoge más información que la de pago al financiarse mediante publicidad.

Algunos de estos campos incluyen el IMSI y el número IMEI, el número de teléfono, el nombre del operador, direcciones IP y nombres de proveedores de servicios (en algunos casos de conexión a redes Wi-Fi), la marca y el modelo del teléfono, listas con las aplicaciones instaladas, la resolución de su pantalla y la versión de Android. Asimismo, la base de datos incorpora información disponible públicamente en los perfiles de Google, tal puede ser el caso de direcciones de e-mail, fechas de nacimiento, sexo y fotos de perfil.


También es preocupante el hecho de que AI.type ha dejado al descubierto los números de teléfono de personas que nunca han llegado a utilizar su teclado. Varias tablas incluyen listines enviados por los dispositivos de los usuarios, incluyendo una con 374,6 millones de números de contacto y otra con 10,7 millones de direcciones de e-mail. Se desconoce por qué motivo AI.type accedió a esta información..

Por si esto no fuera suficiente, Zdnet y Kromtech han podido comprobar que una tabla en la base de datos contenía más de 8,6 millones de entradas de texto introducidas desde el teclado virtual. AI.type asegura que nunca comparte los datos de los usuarios ni recogen sus contraseñas, pero entre dicha información había datos como búsquedas en Internet, así como direcciones de correo electrónico y contraseñas concatenadas.

AI.type no ha querido realizar declaraciones al respecto y Fitusi, que ya ha asegurado el servidor, no ha respondido a las preguntas de Zdnet para aclarar los hechos.

Fuente: Zdnet
Vale, y con que fin que no sea maléfico almacenaba todos esos datos?
Un teclado que almacenaba datos.... interesante fijate la de contraseñas, datos y un largo etc. Que habra filtrado.... Brutal
vamos a morir cienes y cienes de veces!
Quizas descubra algo asombroso,pero yo uso el que viene con el telefono de la propia marca del mismo [poraki]
Buah, 520Gb de información es muchísimo, pero... por que tenían esa información para fines no maléficos?

Yo uso el de Google y fuera preocupaciones de este tipo [poraki]

PD: Es el que venía por defecto [fumando] [chulito]
Madre mía. Les han entrado hasta la cocina....
Y lo que nos queda por ver...
Pues seguramente sea el principio del fin de la compañía, porque la de demandas colectivas que le pueden caer va a ser de órdago :-|

Que no sólo tenía datos que no debería tener, si no que aún encima los tenía sin protección, por lo que es carne de abogados [+risas]


Salu2
Que los teclados almacenen información de lo que escribe el usuario no es ninguna novedad.
Dios eso no me pasaba con el teclado qwerty de blackberry.
Y yo que no conocía de nada ese teclado... solo conozco y usé el de Google y el Swiftkey, bueno y uno en gallego que por cierto te avisa al instalarlo que puede grabar número de cuenta y cosas así.
Yo uso el de Google, me va bien para que voy a cambiar, pero eso que han echo es de ser unos HDLGP y de esos hay muchos hoy en día
kai_dranzer20 está baneado por "Game Over"
mientras mi swype vaya bien no hay problema
keverson303 escribió:Dios eso no me pasaba con el teclado qwerty de blackberry.

¿Y quién te dice que no pasaba y no había nongún keylogger que venía de serie en el hardware de la blackberry? [sonrisa]
Un keylogger disfrazado de aplicación, qué cracks [plas]
@HANNIBAL SMITH

Lo dudo mucho bb era muy seguro.
Lo que estan consiguiendo o al menos conmigo es que no instales nada mas que los 2-3 programas o apps que necesites tanto en pc como en movil y desconfies de todo, el consumo de software caiga enpicado y los programadores se tengan que espiar el ojete entre ellos.
Bueno, hacen lo mismo que hace Google con su teclado, salvo que el de Google aún no ha sido hackeado y ha quedado al descubierto todo lo almacenado. Si te da por hacer una práctica de este tipo al menos hazla bien, y no te dejes la puerta abierta con barra libre para todo el que quiera verlos.

Por otro lado, tampoco entiendo cómo beneficia a los desarrolladores mantener esa recopilación de datos en los teclados, porque realmente es información que no necesitan y no deberían tener tanto acceso.
19 respuestas