Expuestos datos de 31 millones de usuarios de un teclado virtual

La app para Android “Ai.Type” almacenaba los datos de sus usuarios en un MongoDB mal configurado accesible desde Internet. Entre la información se encuentran nombres completos, contactos, números de teléfono, números IMEI…






Ya habíamos hablado en esta otra noticia sobre los riesgos de una base de datos MongoDB mal configurada. Ahora, esta noticia no hace más que confirmar lo que todos ya sabíamos.

La noticia ha sido desvelada por Kromtech Security Center, la cual ha afirmado haber encontrado en la base de datos expuesta información de 31.293.959 usuarios, con un tamaño de 577 GiB. No sólo resulta especialmente grave la nula seguridad con la que se almacenaba la información, sino también el tipo de datos que se registraban, entre los que se encuentran:

  • Número de teléfono, direcciones email y nombre completo del dueño.
  • Nombre la red, número IMSI (Identidad Internacional del Abonado a un Móvil) y número IMEI (Identidad Internacional de Equipo Móvil).
  • Nombre del dispositivo, modelo, resolución de pantalla y versión de Android.
  • Idiomas habilitados y país de residencia.
  • Información asociada a las redes sociales como cumpleaños, título, emails, foto, ip y coordenadas GPS.


También habría una base de datos con 373 millones registros asociados a los contactos de los afectados, entre los que se encontrarían nombres y números de teléfono. Además, hay otra base de datos llamada “old database” con 753 mil registros, de lo que podría haber sido una prueba en la que registraban las búsquedas de Google más populares por regiones, mensajes por día, palabras por mensaje, palabras por día, palabras por sesión, o la edad de sus usuarios.

Ejemplo de los registros de los datos robados. Fuente: Mackeepersecurity.


Es necesario tener especial cuidado con las bases de datos MongoDB expuestas en Internet, y especialmente con aquellas que fueron creadas antes de la versión 2.6.0. Antes de esta versión, la configuración por defecto no restringía las conexiones a ‘localhost’; y por si fuese poco, no era necesario autenticarse. Tener una versión de MongoDB igual o posterior a dicha versión no nos asegura de estar protegidos, puesto que podemos tener todavía una configuración desactualizada.

Juan Antonio Oyague
joyague@hispasec.com

Más información:


MacKeeper Security research center:

https://mackeepersecurity.com/post/virtual-keyboard-developer-leaked-31-million-of-client-records

The MongoDB hack and the importance of secure defaults:
https://snyk.io/blog/mongodb-hack-and-secure-defaults/

You may also like...

Social Media Auto Publish Powered By : XYZScripts.com