La nueva app “Disfrutá Morón” mostró vulnerabilidades y permitió durante varias horas acceder de forma no segura a datos de usuario, contraseñas y otra información sensible.
Por Mariano Aragunde
El día de hoy el Municipio de Morón anunció el lanzamiento de una app para que los vecinos puedan conocer el nivel de ocupación de las plazas, llamada “Disfruta Morón“, disponible para Android. Hasta el momento se reportaron poco más de 10 instalaciones en la tienda Play Store, pero se pudo ver en el código cientos de logueos con direcciones de email.
Investigando sobre el desarrollo de la aplicación, encontramos que todos los datos técnicos y códigos se encontraban en un sitio abierto de los desarrolladores “ZK Sistemas”.
Revisando los archivos se identificaron bases de datos, registros y nombres y mails de usuarios, como así también accesos y contraseñas al sistema.
Hablando en términos técnicos, se pudo acceder al directorio de la aplicación donde se encontraban los servicios de mail, logs de errores e información de geolocalización. El mismo también se encontraba subido en un sistema HTTP en vez de su versión segura y recomendada HTTPS (la “S” indica que es un sitio seguro.)
La aplicación no se encuentra verificada de manera oficial por Google Play. Así mismo, el desarrollador de la aplicación posee otros desarrollos de baja calidad técnica. Al momento de esta nota el sitio de compras del municipio se encuentra caído, por lo que no se pudo verificar la idoneidad de la contratación.
Consultando con profesionales del área de sistemas, nos confirmaron que esta es una brecha de seguridad muy grave y que pudo haber afectado no solo el funcionamiento de la app, sino también la seguridad de los usuarios que la descargaron.
Luego de los mensajes de alerta enviados de forma anónima a los desarrolladores por parte de éstos expertos, el error fue corregido en horas de la tarde.