La aplicación de seguridad familiar Life360 no tiene algunas medidas de seguridad estándar para evitar que un pirata informático se apodere de una cuenta y acceda a información confidencial, según descubrió The Markup.  El servicio, utilizado por más de 35 millones de personas en 140 países, es una aplicación de rastreo de ubicación para que las familias estén al tanto del paradero de sus seres queridos. La aplicación comparte la ubicación en tiempo real entre los miembros del grupo, así como ubicaciones marcadas, como hogares y lugares de trabajo.  A través de una serie de pruebas, descubrimos que Life360 no proporciona varias medidas de seguridad básicas para frustrar a los piratas informáticos potenciales, incluida la limitación de los intentos fallidos de inicio de sesión y la autenticación de dos factores para las cuentas.  El Markup probó la aplicación Life360 con una serie de estándares publicados por Open Web Application Security Project (OWASP), una fundación sin fines de lucro que promueve los estándares de seguridad de las aplicaciones.  El   (ASVS) de la organización es una guía voluntaria de la industria y también sigue de cerca las   , que son estándares federales para la autenticación de usuarios. Estándar de Verificación de Seguridad de Aplicaciones Pautas de Identidad Digital del Instituto Nacional de Estándares y Tecnología (NIST)  Descubrimos que la aplicación de Life360 no pasó seis de las 19 pruebas que pudimos realizar para funciones de seguridad importantes, como limitar los intentos de inicio de sesión fallidos y verificar que las contraseñas se cotejen con un conjunto de credenciales violadas.  Life360 pasó otras 11 de las pruebas de ASVS; por ejemplo, verificamos que los usuarios pueden cambiar su contraseña y pueden usar contraseñas de más de 64 caracteres. Life360 pasó parcialmente dos pruebas adicionales que verifican si se notifica a un usuario sobre cambios en la cuenta.  Descubrimos que la aplicación notificaba a los usuarios sobre inicios de sesión desde varios dispositivos y solicitudes de restablecimiento de contraseña, pero no cuando se cambiaba la dirección de correo electrónico, el número de teléfono o la contraseña de la cuenta. Puede ver los resultados completos de nuestras pruebas   . aquí  “Estamos totalmente en desacuerdo con las acusaciones implícitas en su serie de preguntas. Contamos con un equipo de seguridad altamente experimentado y realizamos auditorías tanto internas como externas de nuestra plataforma. Además, albergamos un programa de recompensas por errores y realizamos pruebas de penetración continuas”, dijo Chris Robertson, jefe de seguridad y operaciones en la nube de Life360, en un comunicado enviado por correo electrónico a The Markup.  Para una de las pruebas, configuramos un script que intentaba iniciar sesión en una de nuestras cuentas en el sitio web de Life360 utilizando contraseñas incorrectas más de 500 veces en poco más de 16 minutos (después de marcar una casilla de verificación inicial con la etiqueta "Soy humano").  Nos permitió iniciar sesión cuando ingresamos la contraseña correcta en el intento número 501. También hicimos esta prueba manualmente a través de la aplicación con más de 100 intentos fallidos con la contraseña incorrecta seguidos de un intento exitoso con la contraseña correcta.  En ambos casos, Life360 nunca bloqueó futuros intentos de inicio de sesión e inmediatamente permitió el acceso una vez que ingresamos la contraseña correcta.  El estándar ASVS requiere que no se permitan más de 100 intentos fallidos de inicio de sesión por hora en una sola cuenta.  Las políticas de contraseñas laxas de la plataforma, la aparente falta de límites de intentos de inicio de sesión y la ausencia de autenticación de dos factores son notables considerando la naturaleza sensible de los datos de ubicación precisos en tiempo real que utiliza y el hecho de que los niños se encuentran entre sus usuarios.  The Markup   que la vasta colección de datos de ubicación de Life360 lo convirtió en uno de los mayores proveedores de datos sin procesar para la industria de datos de ubicación. En enero, la   que dejaría de vender datos de ubicación precisos (excepto a Arity de Allstate), pero seguiría suministrando datos de ubicación agregados a la empresa Placer AI. informó anteriormente empresa anunció  “Una aplicación que trata con información de niños que al menos no ofrece [autenticación] multifactorial, es pura negligencia”, dijo Jim Manico, gerente de proyectos de ASVS.  Los usuarios de Life360 se han quejado de los inicios de sesión no autorizados en   en  y en las   de la aplicación Life360 en las tiendas de aplicaciones de Google Play y iOS. Varios usuarios afirmaron que un pirata informático había iniciado sesión en sus cuentas y podía ver sus ubicaciones en tiempo real, sus lugares marcados como sus hogares o la ubicación en tiempo real de sus seres queridos. varias publicaciones las redes sociales reseñas  Life360 respondió a cada una de las reseñas de la tienda de aplicaciones que encontramos, dirigiendo a los usuarios a su equipo de soporte.  Los revisores no respondieron a múltiples solicitudes de comentarios. “Los informes de cuentas pirateadas son extremadamente raros y generalmente son el resultado de que un miembro de la familia invite a alguien, como un amigo, a su cuenta familiar compartida”, dijo Robertson de Life360.  Los ex empleados de Life360 le dijeron a The Markup que los ejecutivos de Life360 eran muy conscientes de los problemas de seguridad, pero eligieron el crecimiento y las nuevas funciones de usuario en lugar de lidiar con una acumulación de mejoras de seguridad. Los exempleados hablaron con The Markup bajo condición de anonimato porque todavía están empleados en la industria de datos.  Life360 recientemente comenzó a posicionarse como una forma de garantizar la seguridad digital de sus usuarios, incluida la protección contra el robo de identidad, el monitoreo de crédito y las notificaciones de violación de datos. En su   , Life360 promete a los usuarios: "Protegemos sus datos para que pueda vivir más y preocuparse menos", señalando que hasta "1 millón de niños cada año" son víctimas de piratería y robo de identidad. lenguaje de marketing  La empresa tampoco sigue los consejos de seguridad que comparte en su material de marketing. En un   publicado en el sitio web de Life360, recomienda a los usuarios establecer contraseñas con un mínimo de 12 caracteres. Life360 solo requiere que las contraseñas contengan seis caracteres. video  Los expertos advierten que las aplicaciones que permiten a las personas rastrear las ubicaciones de los demás, en particular, pueden ser mal utilizadas.  Los socios abusivos a veces usan el acceso a cuentas compartidas para seguir y acosar a los sobrevivientes, y las aplicaciones de rastreo son una gran parte de esa preocupación, dijo Thomas Ristenpart, profesor asociado en Cornell Tech y cofundador de Clinic to End Tech Abuse.  Si bien no ha visto ejemplos de abuso de Life360 por parte de acosadores, Ristenpart dijo que cualquier aplicación que proporcione datos de ubicación en tiempo real es motivo de preocupación. En su trabajo, está al tanto de las herramientas de monitoreo de ubicación que utilizan los socios abusivos que rastrean y acechan a los sobrevivientes, dijo.  “Buscamos aplicaciones como Life360 instaladas. Si los encontramos, entonces hablamos con los clientes sobre lo que quieren hacer”, dijo Ristenpart.  Mejorar la seguridad de la cuenta suele ser la principal recomendación que Ristenpart hace a las empresas de tecnología, dijo.  Cada vez más empresas   como característica de seguridad para evitar la apropiación de cuentas. En febrero, Google   después de habilitar la autenticación de dos factores de forma predeterminada. Ring, la empresa de timbres propiedad de Amazon,   después de que los   . exigen la autenticación de dos factores informó una caída del 50 por ciento en las adquisiciones de cuentas habilitó la autenticación obligatoria de dos factores piratas informáticos secuestraran las cámaras para acosar a los propietarios  Los expertos dijeron que también es importante evitar que los usuarios creen contraseñas obvias como "123456" y "contraseña", lo que Life360 no hace. La aplicación tampoco pudo marcar una contraseña violada famosa, "contraseña1", e inicio de sesión de correo electrónico "khaleesifan3@emmyhost.com", que el comediante Andy Samberg  en los premios Emmy 2015. compartió en broma como su inicio de sesión de HBO  Ambas credenciales han sido marcadas por   así como por la base de   como filtradas. la verificación de contraseña de Google Chrome, datos Have I Been Pwned  “Parece que no han hecho ni siquiera lo básico”, dijo Jim Fenton, consultor del NIST y coautor de las pautas de autenticación de la agencia. "Si puede usar la contraseña 'contraseña', eso no es genial".  Uno de los ex empleados de Life360 le dijo a The Markup que hubo un debate interno sobre la validación de correo electrónico para las cuentas. La verificación de una dirección de correo electrónico ayuda a evitar el fraude y los bots que envían spam a un servicio, y protege a los usuarios de que alguien se registre en su nombre.  El exempleado de Life360 dijo que la compañía decidió no tomar esta medida para facilitar el registro de las personas.  Cambiamos los correos electrónicos de nuestras cuentas Life360 varias veces sin recibir ningún correo electrónico de validación para asegurarnos de que fueran direcciones de correo electrónico reales. Tampoco recibimos correos electrónicos de validación al registrarnos.  Lo que encontramos  Por qué es importante  Falta de autenticación multifactor  La autenticación multifactor evita que un atacante pueda iniciar sesión en sus cuentas con solo su contraseña. Por lo general, requiere un segundo método de autenticación, que puede ser un código temporal de un mensaje de texto o una aplicación de autenticación, o un token físico como una llave de seguridad USB.  Sin límites de intentos de inicio de sesión  Los límites de intento evitan que los atacantes realicen una cantidad infinita de intentos hasta que adivinen correctamente su contraseña. Los piratas informáticos a menudo usan bots para hacer esto y eventualmente pueden descifrar la mayoría de las contraseñas sin límite de intentos. Pudimos probar la contraseña incorrecta 500 veces sin previo aviso (después de marcar una casilla de verificación inicial con la etiqueta "Soy humano").  Falta de notificaciones de cambio de contraseña  Las notificaciones de cambio de contraseña advierten a los usuarios cuando sus credenciales se modifican sin su consentimiento. Life360 cierra todas las demás sesiones una vez que se cambia la contraseña, pero el propietario original nunca recibe una notificación cuando eso sucede. Si el atacante cambia la contraseña antes de que lo haga el usuario real, el usuario real quedará efectivamente bloqueado de sus propias cuentas.  Requisitos de fortaleza de contraseña débil  Cuanto más larga sea su contraseña, más difícil será que un bot la descifre o que una persona la adivine. NIST y OWASP recomiendan contraseñas con al menos ocho caracteres. El requisito para Life360 era al menos seis caracteres.  Sin advertencia al usar contraseñas comunes o credenciales violadas conocidas  Muchas filtraciones de datos son el resultado de la explotación de contraseñas de uso común de filtraciones de datos pasadas. Pudimos establecer nuestras contraseñas en "contraseña" y "123456", dos de las contraseñas más comunes que se encuentran en las infracciones.  No hay capacidad para cerrar sesión directamente en otras sesiones o revisar la actividad  La única forma de cerrar sesión en otras sesiones de inicio de sesión es restablecer la contraseña de su cuenta. Es posible tener dos dispositivos conectados con la misma cuenta simultáneamente, lo que podría revelar la ubicación exacta de una persona y el historial de ubicación reciente. Un registro de actividad de la cuenta permitiría a los usuarios buscar actividad de inicio de sesión sospechosa.   Créditos:   y  Alfred Ng Jon Keegan   Foto de   en  Towfiqu barbhuiya Unsplash   También publicado  aquí

Every dollar you donate helps support The Markup’s work.

Read My Stories

Este audio es producido en el idioma original de la historia!

Life360 potencialmente deja en riesgo los datos confidenciales de sus usuarios

About Author

COMENTARIOS

ETIQUETAS

ESTE ARTÍCULO FUE PRESENTADO EN

Related Stories

¿Quieres ganar un concurso de redacción de HackerNoon? Esto es lo que recomiendan los ganadores del concurso #crypto-api

Crecimiento de las criptomonedas: creación de perfiles de usuarios eficaces

La guía completa para una migración exitosa a la nube: estrategias y mejores prácticas

La fuga rápida del sistema Claude Sonnet 3.5: un análisis forense

¿Quieres ganar un concurso de redacción de HackerNoon? Esto es lo que recomiendan los ganadores del concurso #crypto-api

Crecimiento de las criptomonedas: creación de perfiles de usuarios eficaces

La guía completa para una migración exitosa a la nube: estrategias y mejores prácticas

La fuga rápida del sistema Claude Sonnet 3.5: un análisis forense

Light-Mode

Classic

Newspaper

Minty

Dark-Mode

Neon Noir

Minty

HN StartUps