Datos personales de 5 millones de personas, al descubierto por un fallo en una app de emojis

Boomoji app de avatares

Boomoji, la aplicación china de creación de avatares en 3D y archivos GIF animados para utilizarlos en vídeos de realidad aumentada o mini películas, ha sufrido un fallo de seguridad que ha dejado al descubierto los datos personales de más de cinco millones de usuarios.

Los datos Boomoji estaban alojados en dos bases de datos -que no tenían contraseña de seguridad para acceder a ellas- en un servidor con base en Estados Unidos y correspondían a los usuarios que residían en países distintos a China. Debido a la legislación del país, los datos de usuarios nacionales estaban ubicados en otro servidor, situado en Hong Kong, y éstos no se han visto expuestos.

Los datos comprometidos correspondían a usuarios residentes fuera de China

Los registros comprometidos contenían información como el nombre de usuario, el género, el país, el teléfono y la ID de Boomoji de todos los usuarios de iOS y Android a nivel mundial.

Estas ID de los usuarios de Boomoji estaban asociadas a otras bases de datos que contenían información como el colegio al que habían asistido los usuarios, la ubicación, las listas de contactos… de los usuarios que hubieran compartido esa información al instalar la app.

Al tener acceso a estas bases de datos, resulta relativamente fácil cruzar la dirección ID de Boomoji con la lista de contactos del usuario, por lo que incluso si éstos contactos no eran usuarios de Boomoji, el error permitía conocer sus números de teléfono, pues los datos personales no estaban encriptados en las bases de datos, sino que se encontraban en forma de texto plano. Es decir, era aún más fácil identificarlos y cualquier persona que accediese a ellos podía manipularlos o borrar las bases de datos utilizando su navegador.

De momento no se ha planteado acción legal alguna contra Boomoji, ni por parte de las autoridades estadounidenses ni europeas. Habrá que estar atentos ante posibles sanciones para el desarrollador de aplicaciones chino por este importante agujero de seguridad.

Juanma Jiménez

Periodista. De cada paso se aprende. Me gustan la tecnología, la economía y los deportes.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Información sobre protección de datos

  • TreceBits te informa que los datos de carácter personal que nos proporciones rellenando el presente formulario serán tratados por Manuel Moreno Molina (TreceBits) como responsable de esta web.
  • La finalidad de la recogida y tratamiento de los datos personales que te solicitamos es para gestionar los comentarios que realizas en este blog.
  • Legitimación: Consentimiento del interesado.
  • Como usuario e interesado te informamos que los datos que nos facilitas estarán ubicados en los servidores de HOST EUROPE IBERIA S.L.U. (proveedor de hosting de TreceBits. HOST EUROPE IBERIA S.L.U. está ubicado en UE, en España un país cuyo nivel de protección son adecuados según la Comisión de la UE. Ver política de privacidad de HOST EUROPE IBERIA S.L.U.
  • Podrás ejercer tus derechos de acceso, rectificación, limitación y suprimir los datos en info@trecebits.comasí como el derecho a presentar una reclamación ante una autoridad de control.
  • Puedes consultar la información adicional y detallada sobre Protección de Datos en nuestra política de privacidad.