Já se tornou um hábito partilhar os nossos dados pessoais com as aplicações que usamos no dia a dia e são muitas aquelas que sabem coisas a mais sobre nós.
Mas o que acontece aos nossos dados quando a aplicação acaba? Vamos conhecer o caso da Kinotopic.
A Kinotopic era uma aplicação para iOS, lançada em 2012, que permitia criar slideshows cinematográficos a partir das fotos do dispositivo ou animar pequenos detalhes nas imagens, permitindo, posteriormente, partilhar com amigos e família. No fim de 2015, depois de não conseguir reunir um público significativo, a aplicação foi removida da App Store, tendo-se seguido o encerramento o seu website no início de 2016.
Mas, embora a aplicação tenha deixado de existir, segundo Chris Vickery, a base de dados MongoDB da aplicação continua online e facilmente acessível, com dados de 198000 utilizadores.
Quais as implicações desta falha?
Quando a aplicação foi desativada, ao contrário do procedimento geral nestes casos, a equipa de programadores abandonou o serviço e deixou-o como estava, permitindo o acesso à base de dados através da configuração padrão do MongoDB, não exigindo qualquer autenticação para entrar.
Nos dados expostos, encontram-se nomes de utilizadores, conta de email, passwords e outros dados do perfil individual da Kinotopic.
Depois de descoberta esta fragilidade de segurança e de tentar contactar os programadores da aplicação, Vickery concluiu que era impossível estabelecer esse contacto e que apenas se resolvia o problema quando o servidor for desligado ou quando os proprietários deixarem de pagar as contas da página.
Além de entrar em contacto com os responsáveis pela aplicação, o investigador em segurança tentou contactar também diretamente com a Apple a fim de conseguir mais informações.
Face a este pedido, a Apple rejeitou dar qualquer contacto dos programadores, tendo-se justificando com a não presença da aplicação na App Store, deixando assim de ser responsáveis pelos problemas.
Alterar as suas passwords
De forma a resolver este problema, a única solução disponível é a alteração das passwords idênticas às colocadas na Kinotopic, por parte do utilizador.
Não deveria uma entidade se responsabilizar para todo o sempre pelos dados que partilhamos?