Saltar al contenido

El peligro de las aplicaciones que mueren

05/11/2020

Hace unos tres años había una aplicación para iPhone llamada Kinotopic. Según su sitio web, que aún está activo, «Kinotopic te permite crear, compartir y almacenar momentos de video cortos y hacerlos más expresivos, en forma de imágenes animadas y cinemagraphs».

Los usuarios anteriores de Kinotopic pueden estar interesados ​​en saber que actualmente existe una base de datos MongoDB que parece pertenecer a Kinotopic y que se encuentra en Internet abierta sin protección alguna. Esta instancia abandonada de MongoDB contiene, entre otras cosas, las direcciones de correo electrónico, los nombres de usuario y las contraseñas hash de lo que parecen ser más de 198.000 usuarios anteriores de Kinotopic.

He intentado ponerme en contacto con los desarrolladores de Kinotopic de varias formas. Todos fracasaron. Por ejemplo, la dirección de correo electrónico proporcionada en su sitio web para obtener ayuda y soporte es help@kinotopic.com. Pero buena suerte al intentar enviar algo a esa dirección de correo electrónico. Rebotará casi de inmediato.

Además, me divertí intentando comunicarme con Apple sobre el problema. Pensé que Apple podría tener alguna forma de contactar a los desarrolladores de una aplicación de iPhone anterior. Después de todo, ¿no hace que Apple se vea mal si una aplicación, que obtuvo el sello oficial de aprobación de Apple, luego expone su base de datos de usuarios al mundo entero?

Cuando me comuniqué con Apple, me dijeron esto por correo electrónico:

“Chris, si cree que este problema afecta la seguridad de un dispositivo iOS o iTunes Store, puede informarlo a product-security@apple.com. […]

Por otro lado, si este problema de seguridad solo afecta a la aplicación en sí, me temo que tendrás que seguir poniéndote en contacto con el desarrollador de la aplicación para obtener ayuda «.

Cuando llegó esa respuesta de Apple, ya sabían que había llegado a un callejón sin salida al intentar contactar a los desarrolladores de Kinotopic. Esperaba un poco más de ayuda para localizar a los creadores de este software que, hasta hace poco, era oficialmente compatible y ofrecido en la App Store de iPhone.

Una vez que esté seguro de que son las personas adecuadas para hablar, puedo proporcionar la dirección IP exacta y el número de puerto de la base de datos expuesta. Una captura de pantalla de descripción general semi-redactada de la base de datos debería estar visible encima de esta publicación. Si esa es tu base de datos, quiero hablar contigo.

Y para cualquiera que haya usado Kinotopic en el pasado, probablemente sea el momento de cambiar algunas contraseñas nuevas a su mezcla.

Descubra las últimas brechas de seguridad, filtraciones de datos y hackeos en el blog de seguridad de Tecnologar.

***

Atención: algunas partes de este artículo se pueden utilizar para su publicación si se hace una referencia adecuada y se da crédito al investigador de seguridad de Tecnologar: Chris Vickery.