Las empresas siguen dejando sus bases de datos en la nube sin protección online a pesar del riesgo de que los datos de la empresa e incluso los de los usuarios queden expuestos.
Tras un estudio de tres meses, Check Point Research (CPR) encontró 2.113 aplicaciones móviles cuyas bases de datos estaban desprotegidas en la nube y a las que podía acceder cualquier persona con un navegador.
Las aplicaciones móviles con bases de datos expuestas iban desde las que tenían más de 10.000 descargas hasta aplicaciones muy populares con más de 10 millones de descargas. CPR encontró una gran variedad de datos sensibles de las aplicaciones en cuestión, incluyendo mensajes de chat, fotos personales, números de teléfono, emails, nombres de usuario, contraseñas y más.
Apps móviles con bases de datos expuestas
En una nueva publicación de su blog, CPR ha proporcionado varios ejemplos de su estudio sin mencionar los nombres de las apps móviles que han dejado sus bases de datos en la nube sin protección.
La primera aplicación es la de una gran cadena de grandes almacenes de Sudamérica que se ha descargado más de 10 millones de veces. Buscando en VirusTotal, CPR pudo encontrar las credenciales de la pasarela API y una clave API. Para empeorar las cosas, estas credenciales estaban en texto simple y cualquiera podría leerlas y utilizarlas para acceder a las cuentas de los clientes de los grandes almacenes.
La siguiente aplicación es una aplicación de seguimiento de carreras diseñada para seguir y analizar el rendimiento de un competidor y ha sido descargada más de 100.000 veces. Su base de datos contenía las coordenadas GPS de los usuarios y otros parámetros de salud como sus frecuencias cardíacas. Con esta información en la mano, un delincuente podría crear mapas para rastrear el paradero de los usuarios de la aplicación.
Posteriormente, CPR encontró la base de datos expuesta de una aplicación de citas para personas con discapacidad. Esta base de datos contenía 50.000 mensajes de chats privados junto con fotos de los remitentes. CPR también encontró la base de datos expuesta de una aplicación de creación de logos muy utilizada que se ha descargado más de 10 millones de veces. Dentro de la base de datos había 130.000 nombres de usuarios, correos electrónicos y contraseñas.
Además de estas aplicaciones, CPR también encontró las bases de datos no seguras de un popular lector de PDF, así como de una aplicación de contabilidad.
Al igual que los expertos en seguridad recomiendan que los consumidores protejan sus móviles, tablets y ordenadores portátiles con contraseñas fuertes y complejas, las empresas que utilizan bases de datos en la nube para almacenar datos para sus aplicaciones móviles también deberían hacerlo, y con una responsabilidad mucho mayor.
