Buscaban privacidad — obtuvieron una filtración: una mala configuración de Firebase expuso datos de millones de personas

Investigadores de Cybernews han revelado una filtración masiva de datos en la popular aplicación de iOS Second Phone Number, diseñada para gestionar números telefónicos virtuales. Datos personales, mensajes y archivos multimedia de usuarios de todo el mundo quedaron expuestos.

El punto fuerte del producto, según su descripción en la App Store, era precisamente la privacidad: "¿Necesitas un segundo número de teléfono para llamadas y mensajes privados?". Sin embargo, los usuarios que confiaban en la protección de su información personal se encontraron con una situación diametralmente opuesta.

El equipo de especialistas descubrió un ejemplar de Firebase —la base de datos en la nube utilizada por la aplicación— mal configurado. Este error de configuración fue el causante de la filtración a gran escala. A pesar de múltiples intentos de contactar a los desarrolladores de Second Phone Number, la brecha de seguridad sigue sin corregirse.

No es posible determinar la cantidad exacta de personas afectadas, ya que la App Store no divulga datos de descargas. Sin embargo, estimaciones independientes indican que la aplicación se ha descargado cerca de cuatro millones de veces, con más de tres millones de instalaciones en Estados Unidos.

Al momento del descubrimiento de la vulnerabilidad, los investigadores tuvieron acceso a más de 700 mensajes SMS. La información expuesta incluía no solo los textos, sino también los números de teléfono de remitentes y destinatarios, así como los nombres de los contactos.

Aras Nazarovas, experto en ciberseguridad de Cybernews, advierte que el alcance real de la filtración podría ser mucho mayor. Firebase funciona como un almacenamiento temporal, lo que significa que el volumen real de datos procesados supera ampliamente el captado en un momento determinado.

Los ciberdelincuentes con conocimientos sobre el funcionamiento de Firebase utilizan programas scraper especializados. Estos programas automatizados realizan consultas periódicas a la base de datos, capturan la nueva información disponible y la almacenan de forma independiente. Así, los atacantes pueden acceder prácticamente en tiempo real a las acciones de los usuarios en el sistema.

Se trata de un recurso sumamente valioso. Algunos usuarios utilizaban Second Phone Number para comunicaciones privadas, incluidas conversaciones personales y citas, lo que facilita a los criminales extraer información sensible para chantaje o manipulación. Otros empleaban la aplicación para comunicaciones comerciales seguras, abriendo así acceso a contactos de negocios y datos de envíos.

La configuración insegura de Firebase también expuso parámetros críticos de la parte cliente: claves API, identificadores de cliente, URL de la base de datos, identificador de la aplicación en Google, ID del proyecto, ID de cliente inverso, parámetros del bucket de almacenamiento y el identificador de anuncios GAD. Almacenar esta información en el código es considerado una grave violación de los principios de seguridad.

Y lo peor es que el problema no se limita solo a Second Phone Number. Los especialistas analizaron 156.000 aplicaciones de iOS —alrededor del 8% del catálogo de la App Store—. De ellas, el 71% filtra al menos un parámetro secreto, y una aplicación promedio expone 5,2 elementos confidenciales.

Para corregir las vulnerabilidades, los investigadores recomiendan un enfoque integral. Primero, configurar correctamente las reglas de seguridad de Firebase para restringir el acceso a datos exclusivamente a usuarios y servicios autorizados. Luego, trasladar la información sensible del lado del cliente al servidor y canalizar todo el tráfico a través de una infraestructura propia.

Según los investigadores, la configuración actual permite a los atacantes no solo conectarse a la base de datos, sino también rastrear las actividades de los usuarios, incluidas sus interacciones con el soporte técnico y sus consultas a sistemas de inteligencia artificial. Además, las claves secretas incrustadas en el código abren la puerta a la exploración de la infraestructura interna de la aplicación e, incluso, al uso no autorizado de sus servicios.