Uno dei server usati da un’app di controllo parentale che consente di monitorare le attività svolte al telefono dai figli, ha fatto trapelare i dati (email e password) legati a migliaia di account di genitori e figli che usano l’app in questione.
Si chiama TeenSafe ed è un’app iOS e Android per il monitoraggio “sicuro” che dovrebbe permettere ai genitori di visualizzare messaggi, localizzare i figli, monitorare le chiamate, accedere alla cronologia del browser e capire quali app vengono installate nei dispositivi.
L’uso di questa tipologia di app è controverso e invasivo dal punto di vista della privacy. ZDNet spiega che per l’utilizzo TeenSafe non richiede il consenso da parte dei figli. Gli sviluppatori di questa azienda di Los Angeles non hanno adeguatamente protetto i server sfruttati per il servizio (ospitato sui server cloud di Amazon), lasciandoli sprotetti e accessibili da chiunque senza password.
A individuare i due server accessibili a chiunque è stato Robert Wiggins, ricercatore britannico specializzato in sicurezza. Dopo la diffusione della notizia, i server sono stati disattivati. “Siamo intervenuti per chiudere uno dei server al pubblico e cominciato ad allertare gli utenti potenzialmente interessati” ha dichiarato un portavoce di TeenSafe a ZDNet.
Nei database dei server erano memorizzati gli indirizzi e-mail associati con TeenSafe, così come corrispondenti indirizzi e-mail con l’Apple ID dei ragazzi. Altri dati presenti: il nome del dispositivo, l’ID univoco associato al dispositivo ma anche la password in chiaro per accedere all’Apple ID. L’app richiedeva la disattivazione del meccanismo di protezione a due fattori e dunque un malintenzionato poteva accedere nell’account dell’utente usando le credenziali di accesso. Prima della disattivazione dei server, su questi erano presenti almeno 10.200 record con dati degli utenti relativi agli ultimi tre mesi. Uno dei server disattivati era usato solo a scopo di test e non è al momento noto se anche questo consentiva a chiunque di accedere ai dati personali degli utenti.
Se avete usato l’app TeenSafe (gli sviluppatori vantano “milioni di utenti”) sarà bene cambiare immediatamente la password. Le regole per essere al sicuro sono quelle che abbiamo descritto in diverse occasioni: non usate la stessa password per più siti, usate password lunghe, robuste (non facili da individuare). Sui siti e servizi che lo consentono, attivate sempre l’autenticazione a due fattori, una funzione progettata per assicurare che solo noi possiamo accedere al nostro account, anche se qualcun altro individua la nostra password.