Fuga de Datos de la Aplicación Child Tracker de uKnowkids Pone en Evidencia la Debilidad de su Base de Datos

El mundo de la seguridad cibernética enfrenta otra ironía.

Y ese es el caso con uKnowkids, una aplicación de “paternidad digital” de una compañía establecida en el estado de Virginia, Estados Unidos, que promete brindar la mejor protección en línea a su clientela. La aplicación está diseñada para seguirle la huella digital a los menores – desde las actividades que realizan en línea hasta cómo se comportan en los medios sociales – con el fin de protegerlos de los depredadores en línea. Lo irónico es que este prometido manto de protección fue recientemente puesto a prueba después de que la compañía fue afectada por una brecha de datos.

El investigador de seguridad Chris Vickery descubrió que una “instalación mal configurada de MongoDB” ocasionó que se expusiera una base de datos de la compañía que comprometió principalmente los datos de un sinnúmero de dispositivos Android y iPhone. Dichos datos incluyen 1,700 perfiles de niños reunidos de esos dispositivos. Los perfiles que se expusieron incluían nombres, direcciones de correo electrónico, credenciales de medios sociales, coordenadas de GPS, fechas de nacimiento, casi 7 millones de mensajes de texto privados y casi 2 millones de fotos, incluyendo las fotos de los hijos de los titulares de las cuentas. Antes de revelar este descubrimiento, se dijo que la base de datos ya se había expuesto por lo menos 48 días antes de que se descubriera, se reportara y se cerrara.

Steve Woda, el CEO de uKnow y uKnowkids, confirmó la fuga a través de una declaración en la que aseguraba, “Personalmente lamento compartir con ustedes la noticia de que un hacker logró penetrar repetidamente a una base de datos privada de uKnow usando dos direcciones IP diferentes los pasados días 16 y 17 de febrero de 2016”. 

Si bien los detalles completos de este incidente aún no se han dado a conocer, Woda comparte detalles sobre éste, como el que se lograra parchar la vulnerabilidad de la base de datos 90 minutos después de que se descubriera. “No hemos revelado mayor información en los últimos días ya que se está realizando un análisis forense en TODOS los sistemas de uKnow, y vamos a informar a nuestros clientes, a los medios y a las autoridades correspondientes TODOS los datos relevantes tan pronto estemos seguros de que la información que tengamos sea 100% precisa”.

En su declaración, Woda aseguró que de la base de datos comprometida se extrajo información no sólo de “0.5% de los niños que uKnowKids ha ayudado a los padres a proteger en línea y en el teléfono móvil”, sino que también una importante parte de “la información de la empresa, secretos comerciales y algoritmos desarrollados para potenciar la tecnología más importante de uKnow”.

Y agregó que las dos direcciones IP desde las que se entró a su base de datos privadas en dos instancias diferentes pertenecían a Vickery en Austin, Texas, a quién se refirió como un “hacker de sombrero blanco”, aunque aún tiene que confirmarse. Y continúo, “El señor Vickery descargó la base de datos de uKnow desde las 3:45 a.m. tiempo del centro, el miércoles 17 de febrero de 2016, hasta las 3:55 a.m. del miércoles 17 de febrero de 2016. Doce minutos después de la brecha final desde la dirección IP 209.144.254.123, y después de capturar pantallas de nuestra propiedad intelectual, información de la empresa y datos de los clientes, el señor Vickery le notificó a uKnow sobre brecha de nuestros sistemas privados”. 

Esto desató una acalorada discusión entre Woda y Vickery – abriendo una disputa en la que salió a relucir la falta de respeto del primero a la información confidencial de sus clientes debido a su incapacidad de brindar un nivel de autenticación en una de sus bases de datos y las “intenciones benignas” del segundo.

Woda dijo que la compañía ha buscado asesoría de la Comisión Federal de Comercio sobre los siguientes pasos que deben darse sobre este asunto, reiterando su cumplimiento con las regulaciones impuestas por la Ley de Privacidad Infantil en Línea (COPPA), la cual requiere que las empresas como uKnowKids “establezcan y mantengan procedimientos razonables para proteger la confidencialidad, la seguridad y la integridad de la información personal que se reúne de los infantes”, una regla que Vickery asegura la compañía aparentemente ha violado. En una declaración, señala, “A medida que aumenta la popularidad del uso de las aplicaciones y los servicios de ‘Child Tracking’, esta es una llamada de atención a la industria en su conjunto para asegurar, cifrar y proteger la información que reúnen sobre los niños”. 

Un incidente en el que estuvo involucrado el hijo del hermano de Woda, donde el niño fue víctima de un depredador en línea, sirvió para crear esta aplicación para rastrear la actividad de los infantes. Su objetivo es crear y abrir la comunicación con los padres y sus hijos sobre los riesgos que se derivan de exponerse al Internet – “para comenzar una conversación con sus hijos sobre la ciudadanía digital y comportamientos responsables en línea”. La compañía, que se promueve como una capa añadida de protección para los niños, enfatiza que no es una forma de spyware.

Irónicamente, uKnowkids recibió preguntas sobre la presencia de una opción para que los padres “ocultaran” la aplicación en el dispositivo del niño, contrario a los ideales de crear transparencia entre padre e hijo. Los términos y condiciones estipulados en la aplicación también han recibido críticas pues no deslinda de toda responsabilidad a la compañía en los casos en que haya pérdida de datos, algo con lo que los nuevos miembros ya estuvieron de acuerdo.

Hace menos de dos meses, los medios dieron a conocer la brecha de VTech después de que criminales cibernéticos extrajeran nombres, fechas de cumpleaños, información de cuentas y más de 190 GB de fotos de su base de datos de aplicaciones. El 24 de diciembre, los términos y condiciones actualizados de la compañía recibieron la ira de los consumidores y de los expertos en seguridad después de transferir la culpa y la responsabilidad a los clientes en los casos en que hubiera una pérdida de datos con la adición de una línea que dice, “Usted reconoce y está de acuerdo en que cualquier información que envíe o reciba durante el uso del sitio podría no estar segura y podría ser interceptada o adquirida posteriormente por partes no autorizadas”. 

La racha de errores y brechas de datos que involucran la información de los niños no se detiene con esta brecha masiva. El mismo mes en que VTech fue hackado, los investigadores descubrieron que Hello Barbie de Mattel tenía una falla que podría permitir que los criminales espiaran las comunicaciones entre el juguete y los servidores a los que está vinculado. A principios de este mes, otro investigador descubrió una vulnerabilidad de Smart Toy Bear de la marca Fisher-Price de Mattel.

Al momento de redactar este blog, Woda aseguraba que los usuarios de la aplicación ya han sido notificados, y que se han agregado medidas de seguridad a los nuevos clientes. Si bien no se han dado a conocer mayores detalles, la compañía aseguró que se han reforzado las prácticas y las medidas de seguridad para proteger a sus clientes.

“Creemos que proteger la identidad digital de los niños es tan importante como proteger su Número de Seguridad Social y su información confidencial. El potencial de abuso o los riesgos de seguridad involucrados con la recolección insegura de datos de los niños es una pesadilla que ningún padre de familia quiere vivir”, dijo Vickery en una declaración.


Posted

in

by

Tags:

Comments

Leave a Reply

Your email address will not be published. Required fields are marked *

This site uses Akismet to reduce spam. Learn how your comment data is processed.