La aplicación Kinoptic estuvo presente en la AppStore desde 2012 al 2015. El sitio web cerró a principios de 2016. Chris Vickery que ya descubrió más de 13 millones de identidades digitales expuestas en Internet con el caso de MacKeeper, explicó que la base de datos detrás de Kinoptic se mantuvo online, a pesar de que la aplicación fue eliminada. A través de servicios como Shodan se podía descubrir dicho activo expuesto en Internet. Él lo denomino como un regalo para los ladrones.
Figura 1: Kinoptic App
Los datos están disponibles sin necesidad de autenticación en la base de datos, un fallo que se ha dado en más ocasiones. Los datos exponen nombres de usuario, direcciones de correo electrónico, contraseñas hasheadas, junto con otro tipo de datos almacenados en los perfiles gestionados por la aplicación. Vickery trató de informar de ello a los desarrolladores de Kinoptic y Apple. El equipo de Kinoptic nunca respondió, mientras que Apple comentó que si eso afectaba a la seguridad de un dispositivo iOS o a la tienda de iTunes podía escribir a [email protected]. Si el problema afecta solo a la aplicación, se tendría que poner en contacto con los desarrolladores. Lo cual parecía complejo. Los datos seguirán en línea hasta que el servidor o la base de datos se apague. Te recomendamos que si utilizaste Kinoptic cambies la contraseña inmediatamente.
Publicado en Seguridad Apple - Google+ - RSS - Eleven Paths
Continúar leyendo...