Saltar al contenido

El error de la base de datos de uKnowKids.com expuso información confidencial sobre 1.700 niños

05/11/2020

La plataforma de seguimiento de niños uKnowKids afirma que «la crianza de los hijos es más fácil y mantiene a los niños seguros en línea». Sin embargo, a principios de este mes descubrí que estaban haciendo todo lo contrario. Una de las bases de datos de uKnowKids se configuró para el acceso público, no requiere ningún nivel de autenticación o contraseña y no brinda protección alguna para estos datos.

Descubra cómo Tecnologarle ayuda a mantenerse protegido en línea y fuera de línea.

La COPPA requiere que un servicio como uKnowKids.com «establezca y mantenga procedimientos razonables para proteger la confidencialidad, seguridad e integridad de la información personal recopilada de los niños».

No sé ustedes, pero no lo consideraría un «procedimiento razonable» para dar al público acceso abierto y sin restricciones a una base de datos que contiene información detallada sobre los niños. Sé que uKnowKids.com está sujeto a COPPA porque su director ejecutivo, Steve Woda, me lo dijo en una conversación telefónica.

De hecho, durante esa misma llamada telefónica, Steve Woda intentó todo tipo de tácticas de intimidación contra mí. Solo puedo asumir que esto se debe a que no quiere que nadie informe sobre el incidente. Woda insistió repetidamente en que había actuado de manera inapropiada en mi respuesta al descubrir y alertar a su compañía sobre la enorme brecha.

Además, trató de convencerme de que un medio que informara sobre la infracción podría enfrentarse a responsabilidad en virtud de la COPPA (una afirmación que, por supuesto, es ridícula).

Me sorprendió un poco el tono de Steve durante esa conversación telefónica del 18 de febrero. Justo el día anterior, me había enviado mensajes de correo electrónico como los siguientes:

Gracias nuevamente por alertarme sobre la violación de seguridad de datos que descubrió. Soy muy sensible a CUALQUIER y CADA vulnerabilidad de seguridad (y en este caso, violación), por lo que estoy muy, muy agradecido por tu nota. […]

Y:

[…] fácilmente podría sacarnos del negocio si no se nos brinda la oportunidad de abordar esto de manera integral de manera adecuada […]

No tengo ningún interés en poner a uKnowKids «fuera del negocio». Sin embargo, no aprecio cuando alguien es amable y agradable en los correos electrónicos y luego lanza amenazas veladas por teléfono.

No tengo forma de saber con certeza cuánto tiempo estuvieron expuestos estos datos a la Internet pública, aunque la información recopilada por Shodan.io sugiere que la base de datos ha estado activa durante al menos 48 días. Tampoco tengo forma de saber con certeza cuántas personas pueden haber accedido a la base de datos durante el período de tiempo expuesto.

La lección que debe aprender aquí es que, si es padre, desconfíe de los servicios que ofrecen monitorear el comportamiento en línea de su hijo. Estos servicios recopilan cantidades desconcertantes de datos sobre su hijo y, cuando se produce una infracción, todos esos datos pueden estar expuestos a un número incalculable de personas.

Además, si alguna vez decide hacer lo correcto y notifica a una empresa que están filtrando datos, intente mantener toda la correspondencia en formato escrito. Descubrí que los directores ejecutivos están mucho menos dispuestos a preocuparse por sus modales en las conversaciones telefónicas.

Descubra las últimas noticias sobre seguridad y conozca las infracciones de seguridad en TecnologarSecurity Research Center.

Atención: algunas partes de este artículo se pueden utilizar para su publicación si se hace una referencia adecuada y se da crédito al investigador de seguridad de Tecnologar: Chris Vickery.