News

Aplicación de protección de menores expone decenas de miles de contraseñas sin cifrar

Se han descubierto serias fallas de seguridad en una aplicación para iOS y Android que ofrece protección a los menores en Internet. Al menos dos servidores de TeenSafe, una aplicación que permite a los padres controlar las actividades de sus hijos en sus teléfonos, han dejado expuestas las cuentas de decenas de miles de usuarios sin ninguna contraseña ni mecanismo de cifrado.

Las contraseñas expuestas se encontraban escritas en texto legible y estaban acompañadas de información adicional de los menores y sus padres, que incluye sus cuentas de correo electrónico personales y vinculadas a Apple ID. Los registros también incluían el nombre del dispositivo y su código de identificación único.

La amenaza fue descubierta por el investigador de seguridad británico Robert Wiggins, que encontró dos servidores inseguros de TeenSafe que exponían 10.200 registros de los últimos tres meses, aunque algunos de ellos estaban duplicados. El investigador no puede confirmar si éste fue todo el alcance de la amenaza, ya que es posible que existan todavía más servidores vulnerables que no han sido descubiertos.

La aplicación TeenSafe exige que la autentificación de dos factores de los teléfonos esté desactivada para poder funcionar, así que la información expuesta sería suficiente para que cualquier usuario malicioso ingrese a la cuenta Apple ID de los internautas.

Aunque los servidores desprotegidos no incluían fotos, mensajes o datos que especificaran la ubicación de los usuarios, las contraseñas de TeenSafe y Apple ID que exponían ponen a los internautas en riesgo de ser blanco de otros ataques en los que sí se tenga acceso a sus cuentas e información de este tipo.

TeenSafe es un programa que ofrece sus servicios a más de 1 millón de padres para ayudarles a vigilar las actividades de sus hijos. La aplicación les permite vigilar los mensajes de texto de sus hijos, su historial de navegación, sus registros de llamadas, contactos, aplicaciones de terceros y mensajes en WhatsApp y Kik. Por lo tanto, cualquier cibercriminal que consiga las contraseñas de TeenSafe también podría tener acceso a estos datos.

“Hemos cerrado uno de nuestros servidores al público y hemos comenzado a alertar a los clientes que podrían sufrir las consecuencias de este hecho”, dijo un portavoz de TeenSafe a ZDNet, el portal que dio a conocer la situación.

Fuentes
Teen phone monitoring app leaked thousands of user passwords • ZDNet
TeenSafe phone-monitoring app leaks ‘tens of thousands’ of accounts • Digital Trends
Teen monitoring app used by parents reportedly leaked Apple ID passwords • Mashable

Aplicación de protección de menores expone decenas de miles de contraseñas sin cifrar

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

 

Informes

MosaicRegressor: acechando en las sombras de UEFI

Encontramos una imagen de firmware de la UEFI infectada con un implante malicioso, es el objeto de esta investigación. Hasta donde sabemos, este es el segundo caso conocido en que se ha detectado un firmware malicioso de la UEFI usado por un actor de amenazas.

Dark Tequila Añejo

Dark Tequila es una compleja campaña maliciosa que tiene por objetivo a los usuarios ubicados en México, con el propósito principal de robar información financiera, así como credenciales de acceso a sitios populares que van desde versionado de código fuente a cuentas de almacenamiento de archivos en línea y de registro de dominios web.

De Shamoon a StoneDrill

A partir de noviembre de 2016, Kaspersky Lab observó una nueva ola de ataques de wipers dirigidos a múltiples objetivos en el Medio Oriente. El programa malicioso utilizado en los nuevos ataques era una variante del conocido Shamoon, un gusano que tenía como objetivo a Saudi Aramco y Rasgas en 2012.

Suscríbete a nuestros correos electrónicos semanales

Las investigaciones más recientes en tu bandeja de entrada