Boomoji, una popular aplicación para crear avatares animados, expuso los datos personales de todos sus usuarios. La plataforma que cuenta con un número mayor de cinco millones de usuarios a nivel mundial reveló las listas de contactos y la locación de los mismos.

La empresa con sede en China dejó sus bases de datos de Estados Unidos (ElasticSearch) y de Hong Kong sin contraseña. Cabe destacar que Boomoji utiliza un proveedor para sus clientes internacionales y uno que es únicamente para sus usuarios chinos, esto para cumplir con las leyes estipuladas en Chino para la seguridad de datos, donde se requiere los datos de los usuarios se encuentren en servidores nacionales.

Al cometer el “error” de no colocar contraseñas de seguridad, los datos de los usuarios de la aplicación se vieron puestos en “peligro”, ya que cualquier persona que supiera exactamente dónde buscar podría lograr acceder, editar y hasta eliminar la base de datos, tan solo utilizando un navegador web.

Las bases de datos que fueron reveladas se encontraban incluidas en Shodan, un motor de búsqueda que, mediante una variedad de filtros, permite a los usuarios encontrar tipos específicos de equipos que se encuentren conectados a Internet. Esto permitió que la información fuera encontrada fácilmente con el simple uso de algunas palabras claves.

Según revela TechCrunch en su artículo, Boomoji se desconectó de las dos bases de datos (EE.UU y China). Sin embargo, aunque el portavoz por parte de la aplicación afirmó que esas cuentas se habían creado con la finalidad de realizar pruebas, el equipo de TechCrunch desmiente la información.

¿Qué sucedió realmente?

Entre las bases de datos de Boomoji se encontraban los registros de todos los usuarios de aplicación, desde iOS y Android. Eso suma un total de 5.3 millones de personas que registraron un nombre de usuario, país y número de teléfono.

En adición, cada registro encontrado en las bases de datos, incluían el ID de Boomoji que es único por cada usuario. Estos IDs se encontraban vinculados, al mismo tiempo, a otras tablas, en las que se indicaban a qué escuela asistían los usuarios, característica de la app que les permite establecer contacto entre sus compañeros de clase.

Esas identificaciones únicas también proporcionaban la geolocalización de más de 375.000 usuarios, que para el momento habían autorizado a la aplicación de conocer su ubicación. Por si fuera poco, las bases de datos sin contraseñas contaban con acceso a las listas de contacto de todos los que formarán parte de la app y hayan dado acceso a las guías telefónicas.

A pesar de que la sede de Boomoji está ubicada en China, el equipo afirma regirse por las leyes de seguridad del estado de California, donde la normativa para la protección de los datos y la privacidad es una de las más estrictas de los Estados Unidos.

El equipo de la compañía China aún no informa acerca de los pasos a seguir con respecto a la exposición de los datos, aunque, como lo exige la ley estatal, el procedimiento debe ser acercarse al fiscal general de California a exponer los hechos.

Es impresionante pensar que la empresa podría quedar libre de toda culpa, ya que, aun cuando una gran cantidad de sus usuarios son europeos, y podrían enfrentar sanciones que van en línea con lo estipulado en el Reglamento de Protección de Datos General de la UE, al estar ubicados en China, no quedan claras las repercusiones a enfrentar por infracciones tan graves.

Más en TekCrispy