Los investigadores del Centro de Seguridad de Kromtech fueron los que descubrieron la vulnerabilidad. Una base de datos desprotegida fue la causante del goteo de información increíblemente detallada sobre usuarios de la app. También se encontró que la base de datos estaba disponible gratuitamente para descarga, sin necesidad de contraseña para acceder.
Las características de personalización que ofrece ai.type requieren una cierta cantidad de datos por parte de los usuarios. Esto ha planteado preguntas sobre cuán trascendental llegó a ser el filtrado de datos. Por ejemplo, al instalar la app en un iPhone, ésta requiere de «acceso total» para que funcione. Lo anterior le permite acceder a una gran cantidad de información, incluidos los datos antiguos del teclado.
Kromtech informa del filtrado de información de ai.type
La base de datos de 577GB incluía detalles de 31,293,959 usuarios de todo el mundo, incluida la República Dominicana. Y en muchos casos esto incluyó datos extraídos de las listas de contactos. El Centro de seguridad de Kromtech revela la larga lista de datos expuestos por la fuga de información de ai.type:
- Número de teléfono.
- Nombre completo del propietario
- Nombre y modelo del dispositivo
- Nombre de la red móvil
- Número de SMS
- Resolución de pantalla
- Idiomas de usuario habilitados
- Versión de Android
- Número IMSI (identidad del suscriptor móvil internacional utilizada para la interconexión)
- Número IMEI (número único proporcionado a cada teléfono móvil)
- Correos electrónicos asociados con el teléfono
- País de residencia
- Enlaces e información asociada con perfiles de redes sociales: fecha de nacimiento, estado civil, correos electrónicos, fotos.
- IP ( si está disponible)
- Detalles de ubicación (latitud/longitud)
Verdades y mentiras al respecto del filtrado de información de ai.type
En declaraciones a la BBC, el fundador y director ejecutivo de ai.type, EitanFitusi, se refirió a la base de datos filtrada como «una base de datos secundaria».Fitusi también negó que la escala de los datos expuestos fuera tan alta como se afirmó. En particular, negó que se haya recopilado información de IMEI. También dijo que los datos de geolocalización no eran precisos y señaló que los datos de comportamiento del usuario solo se recopilaron de los ads clicados.
Sin embargo, las afirmaciones de Fitusi están muy en desacuerdo con los hallazgos del Centro de seguridad de Kromtech. Mark James, un especialista en seguridad de ESET, se mostró sorprendido por la cantidad de datos recopilados. James aconsejó a los usuarios que tengan cuidado con todo lo referente a ai.type de ahora en más.
Mark James también afirma que simplemente no es aceptable recopilar tanta información personal y luego descubrir que la lista se ha filtrado. “Para mantener un servidor bien protegido, hace falta de una gran cantidad de datos por sí mismo. Lamentablemente, la base de datos de ai.type no estaba configurada de forma correcta. Por lo tanto, permitía el acceso completo desde Internet hacia todos los datos”.