Las aplicaciones para realizar seguimiento personal pueden ser de gran utilidad cuando se busca recordar ubicaciones visitadas o incluso cuando los padres buscan vigilar a sus hijos adolescentes. Sin embargo, estas ventajas dependen de que estas apps mantengan los datos privados de los usuarios protegidos.

Por desgracia, los usuarios de la app Family Locator no han recibido este beneficio, ya que la misma ha filtrado una importante cantidad de datos personales de los usuarios, incluyendo sus ubicaciones en tiempo real, para cualquier usuario que pueda encontrarlas en línea.

El fallo de seguridad que expuso la información fue detectado por el investigador de seguridad Sanyam Jain y notificadas por primera vez a TechCrunch. Family Locator es una app de seguimiento dirigida a familias y basada en el sistema operativo iOS.  Fue creada por un desarrollador australiano llamado React Apps y, entre sus funciones más importantes, destaca la posibilidad de saber cuándo alguien entra o sale de una ubicación específica.

El investigador reveló que los servidores de Family Locator no estaban protegidos con contraseña y que igualmente su base de datos de ‘back-end’ no contaba con la seguridad adecuada. Sin embargo, lo más grave es que la base de datos no estaba cifrada, lo que quiere decir que fueron expuestos datos personales como direcciones de correo electrónico, ubicaciones en tiempo real, contraseñas de texto sin formato y coordenadas geofence personalizadas por los usuarios.

En definitiva, los datos de 238,000 usuarios han sido expuestos durante varias semanas, según Jain. Por su parte, TechCrunch realizó una prueba para validar la información del investigador y creó una cuenta falsa en Family Locator para validar si aparecía en la base de datos filtrada con las ubicaciones. En este sentido, se comprobó que la información proporcionada por el experto era correcta.

El desarrollador React Apps todavía no ha emitido un anuncio para reconocer el fallo de seguridad, y tampoco puede ser contactado mediante el sitio web o los registros comerciales de la empresa. Por fortuna para los usuarios, TechCrunch notificó el problema a Microsoft, que alojaba la base de datos desprotegida en Azure, para que la misma fuera retirada finalmente.