La app de control parental KidSecurity expone datos confidenciales de niños durante más de un año


La aplicación de control parental KidSecurity ha expuesto datos de niños «altamente confidenciales» durante más de un año, según revela un informe publicado este mismo viernes por Cybernews. En él, se recuerda que esta es la segunda filtración de la plataforma en solo unos meses, después de que en la primera expusiera más de 300 millones de registros con datos privados de los usuarios al no haber gestionado correctamente la autenticación en sus sistemas, tal y como también descubrió el equipo de investigación de este mismo medio el pasado mes de septiembre.En este caso, los investigadores han descubierto que los desarrolladores de KidSecurity no configuraron correctamente la autenticación del cluster Kafka Broker, la plataforma de código abierto que utiliza para facilitar la transmisión de datos en tiempo real entre sistemas. Esta brecha de seguridad es la que desencadenó la segunda filtración, que incluye las ubicaciones GPS en vivo de los menores, así como la siguiente información:

  • Grabaciones de audio del entorno de los menores.
  • Ubicaciones de dispositivos.
  • Direcciones IP.
  • Direcciones de correo electrónico de los padres.
  • Mensajes de redes sociales de menores, incluidos Instagram, WhatsApp, Telegram, Viber y Vkontakte
  • Números IMEI (International Mobile Equipment Identity/’Identidad Internacional de Equipos Móviles’).
  • Información de la App Store: país, país del perfil, monedas utilizadas para las transacciones, fechas de inicio y vencimiento de la suscripción.
  • Listas de aplicaciones instaladas en teléfonos y sus estadísticas de uso.
  • Recompensas otorgadas a los niños por completar tareas o participar en deportes.
  • Niveles de batería del dispositivo.
  • Otros metadatos enviados periódicamente.

«Los datos fueron accesibles para cualquiera, incluidos los actores maliciosos, durante más de un año. Es probable que los actores de amenazas hayan accedido a los datos filtrados», advierte Cybernews. Asimismo, señala que la fuga de datos se asemejó a un flujo de información entre sistemas, que habría permitido a los atacantes acumular «cantidades significativas de datos privados a lo largo del tiempo».

«Durante una hora de observación, los investigadores recibieron 456.000 mensajes privados enviados a través de aplicaciones de redes sociales en los teléfonos de los menores y estadísticas de uso de aplicaciones de 11.000 teléfonos. El volumen de datos recopilados en el marco de tiempo limitado es notablemente alto», subraya Cybernews, y añade:

«El acceso al clúster se aseguró solo después de que ‘Cybernews’ se pusiera en contacto con la empresa. Esto sugiere que probablemente los clusters de Kafka involucrados no fueron monitoreados activamente por los desarrolladores».

Aunque algunos de los datos expuestos en esta segunda filtración de SecuryKids eran anónimos, imposibilitando que pudieran ser vinculados a un niño concreto, otra parte de la información filtrada sí permitía identificar a los menores. Por ejemplo, los números IMEI de los dispositivos o los chats grupales, algunos de los cuales llamados con nombres específicos de centros educativos.

«Los actores maliciosos podrían utilizar las enormes cantidades de datos privados para determinar las tendencias de comportamiento de los menores con el fin de explotarlos y manipularlos. El acceso a la ubicación en vivo de los menores y la información sobre los niveles de batería en sus dispositivos podría causar amenazas y daños aún mayores, como el secuestro», señala Cybernews, que apunta que la filtración también ha afectado a niños que no tenían instalada la app por los mensajes que han quedado expuestos en los chats.

Según los datos analizados por los investigadores, los afectados por esta filtración residen en varias regiones del mundo, principalmente en Rusia, en Europa del Este y en Oriente Medio.

Fuente: Escudo digital

Esta entrada ha sido publicada en Privacidad y etiquetada como , . Guarda el enlace permanente.