Informações pessoais, pertencentes a mais de 31 milhões de usuários de um aplicativo de teclado para smartphones chamado ai.type, foram expostas devido a um banco de dados online desprotegido. No total, cerca de 580 gigabytes de registros de usuários ficaram visíveis em um banco de dados MongoDB. O incidente ocorreu devido ao fato do desenvolvedor israelense não usar nenhuma autenticação para proteger o servidor de seu banco de dados.
Este app possui mais de 40 milhões de usuários entre o Android e o iOS, mas apenas os usuários do sistema operacional do Google foram afetados por esse problema de segurança. Segundo relatos, Eitan Fitusi, CEO e fundador do ai.type, protegeu as informações com uma senha depois de ter sido alertado sobre o caso. No entanto, antes disso, a informação já estava disponível para que fosse utilizada por qualquer cibercriminoso.
Talvez isso seja tão preocupante quanto a quantidade de informações que o app do teclado obteve dos sistemas. Os relatórios sugerem que as informações pessoais visíveis eram bem variadas, independentemente dos usuários terem instalado a versão gratuita ou paga do aplicativo. As informações coletadas incluíam o nome completo do usuário, endereço de email, dados de localização, números IMSI e IMEI do dispositivo, fabricante e modelo, versão Android, detalhes do perfil público do Google sobre os usuários e o conteúdo dos contatos.
Fonte: Google Play
Também foi encontrado um banco de dados com mais de 8,6 entradas de texto que tinham sido utilizadas no teclado e que poderiam incluir endereços de email com suas correspondentes senhas. Enquanto isso, segundo informações, Fitusi afirmou que a quantidade de dados que estavam em risco não era tão grande quanto a que foi relatada. Ele também destacou que o aplicativo não estava espionando os usuários.
"Foi um banco de dados secundário", disse Fitusi em entrevista para a BBC, acrescentando que a informação de geolocalização não era precisa e que as informações IMEI não estavam sendo coletadas. Além disso, Fitusi destacou que o comportamento do usuário coletado pela empresa estava relacionado apenas com as publicidades clicadas.
Em resposta a este tipo de práticas de coleta de informações, Mark James (especialista em segurança da ESET) disse que "em si é uma grande quantidade de informações que devem ser armazenadas em um servidor bastante seguro, mas, infelizmente, isso não aconteceu". Ele acrescentou que "o banco de dados não estava bem configurado e permitiu o acesso total através da Internet à informação contida no mesmo, tornando-o totalmente acessível".
Outro aplicativo de teclado, SwiftKey, também teve seus próprios problemas de segurança no último mês de julho, quando foi relatado que alguns usuários receberam mensagens de texto preditivas destinadas para outras pessoas, as quais incluiam endereços de email e números de telefone. O inconveniente foi atribuído a um erro no programa de sincronização do teclado, e o fabricante suspendeu temporariamente a sincronização do aplicativo.
Sugerimos aos usuários que tomem cuidado ao instalar aplicativos para dispositivos móveis. Além disso, a atenção deve ser redobrado no caso de aplicativos de teclado, considerando que possuem acesso a todas as informações inseridas pelos usuários, incluindo dados mais sensíveis, como senhas e detalhes do cartão de crédito.
