Querían dejar la pornografía y acabaron expuestos: una aplicación que prometía ayudar filtró los «secretos sucios» de cientos de miles de usuarios
La confianza acumulada durante meses se perdió en segundos por una simple casilla.
Una aplicación que se presenta como una herramienta para dejar de ver pornografía resultó ser la fuente de una filtración masiva de datos personales extremadamente sensibles. Quedó expuesta información sobre los hábitos de los usuarios, su edad, la frecuencia de la masturbación, estados emocionales y desencadenantes psicológicos relacionados con el consumo de contenido para adultos.
Entre los datos revelados había cuestionarios de menores. La base contenía información sobre la edad, la regularidad en el consumo de pornografía, desencadenantes internos como el aburrimiento y el impulso sexual, así como indicadores de la llamada adicción y descripciones de síntomas, incluyendo disminución de la motivación, problemas de concentración y sensación de “niebla” mental. La aplicación también permitía a los usuarios dejar confesiones personales, entre las que se encontraron mensajes con signos de una fuerte crisis psicológica y sentimientos de impotencia.
El problema lo descubrió un especialista independiente, que se lo comunicó al desarrollador ya en septiembre. La causa de la filtración fue una configuración incorrecta de la plataforma Google Firebase, utilizada para almacenar los datos. Según su informe, por las configuraciones de seguridad predeterminadas cualquier persona podía obtener el estatus de usuario autorizado y acceso al almacenamiento del servidor de la aplicación. Como resultado, se abrió el acceso a la información de más de 600 000 usuarios, de los cuales alrededor de 100 000 se identificaron como menores.
El creador de la aplicación negó inicialmente la existencia de la filtración, afirmando que los datos podrían haber sido falsificados y que el problema no estaba relacionado con la configuración de Firebase. Sin embargo, después se creó una cuenta de prueba que apareció de inmediato en la base de datos pública, lo que confirmó la persistencia de la vulnerabilidad.
El tema de las configuraciones inseguras de Google Firebase es conocido desde hace tiempo en la comunidad profesional. El director de la empresa Trail of Bits, Dan Guido, había señalado anteriormente que errores semejantes se detectan y se amplifican con facilidad, y que las propias plataformas podrían implementar mecanismos automáticos de advertencia y bloqueo de configuraciones inseguras, de forma análoga a lo que se hizo en Amazon S3.
El autor del hallazgo también destacó que problemas como este deberían detectarse ya en la etapa de moderación de aplicaciones en las tiendas, pero que en la práctica no se verifica la seguridad del servidor. Apple y Google no respondieron a las solicitudes de los periodistas.