Los hackers introducían contactos falsos y solo uno real, al que podían rastrear fácilmente. (Foto: Cortesía CNNMoney.) |
Los hackers de Rhino Security Labs descubrieron una manera de engañar al sistema.
Para empezar hay que saber que para unirse a la comunidad de Secret la aplicación importa tus contactos. Luego etiqueta cuáles mensajes son de tus amigos.
Para evitar que tú rastrees a una persona en particular, Secret exige que siete de tus contactos publiquen en la red antes de etiquetar esos mensajes.
Pero aquí está el truco: Llenas la lista de contactos de tu teléfono con personas inventadas y sólo un contacto real (el objetivo a quien deseas rastrear). Si tú controlas los mensajes procedentes de estas cuentas Secret ficticias, es fácil detectar cuando tu “amigo” real está publicando.
“Manipulas los datos en el exterior, los introduces como datos confiables, y ¡voilá! Logras que el sistema trabaje para ti”, explicó Bryan Seely, un investigador de Rhino.
¿Qué importancia tiene que desaparezca el pretendido anonimato? Bueno, veamos como ejemplo estos mensajes recientes.
Uno escrito por alguien en Tel Aviv, Israel: “Soy árabe y vivo cerca de Jerusalén. Estoy en contra de la guerra, y creo en la democracia. ¡Hamás es malo para todos los musulmanes! ¡Póngale freno a Hamás! Si alguien se entera de que dije esto, ¡yo sería ejecutado!”
Una persona en Utah: “Tener una enfermedad invisible me está matando. Literalmente. Y sólo tengo 24 años”.
Y otro de alguien en Polonia: “Les dije a todos que esas cicatrices me las hizo el gato”.
¿Entiendes ahora la importancia del asunto?
Los investigadores en seguridad notificaron del problema a la startup de San Francisco la semana pasada, y Secret dijo que emitió un parche corrector de inmediato. Ahora, tras la corrección, si importas una lista de amigos falsos y sólo uno real, el real no será etiquetado como un “amigo”, dijo Seely.
El CEO de Secret David Byttow culpó a una actualización de software de aplicaciones, arguyendo que el hackeo era “difícil”, no era 100% preciso y sólo era posible por un corto tiempo.
“Estamos muy agradecidos con los investigadores por contactarnos. Nosotros parchamos un problema similar en mayo”, dijo Byttow, y agregó que el problema fue arreglado “en cuestión de horas”.
Pero que esto nos sirva como recordatorio de un mantra en la comunidad hacker: Nada de lo que hagas en el mundo digital es verdaderamente anónimo. Al final, pueden rastrearlo hasta dar contigo.
Fuente : CNNexpansion.
No hay comentarios:
Publicar un comentario