1 millón de datos de usuarios en riesgo por culpa de una aplicación de rastreo COVID-19

by

Era cuestión de tiempo: las aplicaciones que rastrean nuestros movimientos para identificar si hemos estado en contacto con alguien con COVID-19 no son inmunes a los hackeos, y el primer filtrado ya se ha producido.

Se trata de la aplicación de rastreo de contactos de coronavirus de Qatar, app que el país obligó a instalar a todos la semana pasada y que cuenta con agujeros de seguridad evidentes.

Los laboratorios de seguridad de Amnesty han sido los que han encontrado una vulnerabilidad crítica en el software, denominada Ehteraz, que habría permitido a los atacantes obtener información personal altamente confidencial, incluido el nombre, la identificación nacional, el estado de salud y los datos de ubicación de más de 1 millón de usuarios.

Dicho laboratorio informó al gobierno de Qatar el 21 de mayo, y un día después ya tenían una solución, por lo que en estos momentos ese problema ya no existe (no se sabe si tendrá otros).

Aunque las autoridades de Qatar resolvieron rápidamente este problema, por lo visto el fallo era grande y evidente, y los atacantes maliciosos podrían haber explotado fácilmente el problema. El desarrollo fue realizado con prisas, por lo visto, y fue implantado de forma obligatoria, lo que hace que la búsqueda por problemas sea constante.

La investigación de Amnistía encontró que Ehteraz solicitó un código QR de un servidor central al proporcionar la identificación nacional del usuario. Como no se requería autenticación, cualquiera podría haber solicitado un código QR para cualquier usuario de Ehteraz. Esto, a su vez, habría permitido generar todas las combinaciones de ID posibles y recuperar todos los datos que almacena la aplicación.

Es un aviso para todos los gobiernos del mundo. Una app de este tipo tiene que ser extremadamente segura, y los usuarios deben de poder confiar en algo así, tienen que tener la seguridad de que su privacidad se mantiene siempre a salvo.

Tenéis los detallas del problema en amnesty.org

Icono superior de Freepik