Sobre los riesgos de sus datos en la nube

No es frecuente que mire un producto o servicio y diga " Realmente espero que esto no sea real ". Es hora de echar un vistazo a algo que apareció hoy en mi radar, a saber, un servicio llamado FileThis. Una búsqueda rápida los encontrará y su aplicación en Play Store y iTunes.

Con la expansión del ecosistema "en la nube" de un sinfín de nuevas empresas financiadas con capital de riesgo, todos tratando de hacer su vida más fácil (a menudo con modelos comerciales que dependen de la venta de sus datos), ¿por qué elegir FileThis? En pocas palabras, nos preguntamos si los consumidores están bien atendidos al iniciar empresas confiables como FileThis, que representa un ejemplo particularmente grave de un servicio que requiere acceso a sus contraseñas e información más confidenciales.

¿Qué es?

FileThis tiene como objetivo hacer la vida más fácil al ayudar a las personas a organizarse. Lo hacen recuperando sus extractos bancarios, certificados de seguro, facturas de tarjetas de crédito, detalles de inversiones y facturas, y almacenándolos en la nube para usted. Es efectivamente un raspador web (para citar la revisión de PC World del 7 de enero). Excepto que esto no es como cualquier otro raspador web. Es un raspador web para el que proporciona la información de inicio de sesión para sus cuentas bancarias y tarjetas de crédito. De hecho, FileThis afirma que admite "más de 400" diferentes fuentes de documentación, que pueden recuperar y guardar para usted. Para ser justos, FileThis no es el único servicio que proporciona una funcionalidad similar. Mint.com, que elimina las cuentas bancarias, de corretaje y de tarjetas de crédito, fue comprada por Intuit por $ 170 millones en 2009. Desde entonces, el espacio de agregación de información ha despegado.

¿Y qué?

El principal problema con la recopilación de todos estos extractos bancarios y de tarjetas de crédito, documentos de pólizas de seguro y otras facturas (como facturas de teléfono de contrato y suscripción por satélite o cable), es que los usuarios han introducido un punto único de falla en su existencia financiera. Has dado todas tus contraseñas a una empresa privada. ¿Pero quiénes son ellos? ¿Por qué deberías confiar en ellos? ¿Le entregarías tus extractos bancarios a ese hombre que está parado afuera de la estación de metro camino a tu trabajo? ¿Le entregaría la documentación de su seguro de salud (que fácilmente podría incluir detalles de las reclamaciones) al mendigo desaliñado con la guitarra fuera de Starbucks? Como la mayoría de los miembros, soy un usuario cínico de Internet. Sé que existen estafas. Puedo investigar razonablemente compañías que solicitan mi información personal. Mi sesgo es dar esa información a la menor cantidad de entidades posible. A continuación se muestra mi análisis (cínico) de por qué confiar en un servicio como FileThis es una decisión cuestionable. No tengo pruebas sólidas de que FileThis tenga ningún diseño negativo en sus datos, solo señales de alerta. Para ser justos, podría reunir un análisis similar para docenas de nuevas empresas, pero la información que FileThis solicita es particularmente invasiva.

Entonces, ¿quién es FileThis? Un control whois en su dominio no revela mucho. Confirma que el dominio está registrado por "Loyal Bassett" de "FileThis.com". Tenga en cuenta este nombre, volveremos más tarde. No se proporciona una dirección física, y el sitio está alojado en la infraestructura de Amazon. El equivalente en el mundo real de esto es "sin domicilio fijo".

Cavando un hoyo más profundo

Con la revelación anterior, llevé las cosas un poco más allá: tienen un certificado SSL EMV, lo que significa que su existencia corporativa fue verificada por la autoridad de certificación que emitió el certificado. Lamentablemente, esto significa poco; Se pueden formar y cerrar nuevas empresas con la firma de algunos formularios. Finalmente, dejé de tratar de encontrar más información sobre dónde estaban ubicados y analicé más sobre cómo se financiaron.

Resulta que FileThis no es una empresa cualquiera, sino una empresa privada, que actualmente se ha financiado con una deuda de $ 1.4 millones. ¿Daría las facturas de su tarjeta de crédito y los extractos bancarios a alguien que debía un millón de dólares? Si bien no hay nada que indique intenciones negativas por parte de la empresa, no lo haría en persona, entonces, ¿por qué una empresa en línea casi anónima? Y aunque la deuda convertible es una forma bastante típica de financiar una empresa en etapa inicial, las nuevas empresas son riesgosas. Incluso descontando cualquier riesgo de intenciones nefastas, las startups fallan, los fundadores se van, las empresas se venden por chatarra, incluso la mejor seguridad puede fallar. Simplemente no sabes dónde terminarán tus datos.

En el proceso de investigar su financiación, me encontré con su presentación ante la Comisión de Bolsa y Valores, que al menos confirmó que tenían presencia física. Pero incluso esta presentación no fue exactamente próxima. Curiosamente, su sitio web muestra su equipo de gestión. Ninguno de ellos es el "Loset Bassett" mencionado anteriormente que parece ser dueño de su dominio de Internet. Después de revisar sus breves biografías, está claro que se han instalado con:

  • "Un veterano de 25 años de la industria del software y emprendedor apasionado" ... sin hacer referencia específica a ninguna experiencia relevante en seguridad o privacidad
  • un ex programador de Adobe con una licenciatura en Ciencias de la Computación de una universidad estatal que hace malabares con lo que parece ser toda la codificación de toda la empresa, incluida la seguridad
  • un chico de marketing

Es casi como el comienzo del tradicional chiste malo: tres de las personas menos propensas a proteger sus datos privados le piden que entregue sus contraseñas bancarias en línea. Y el programador, proveniente de Adobe, obviamente nunca cometerá errores ... nunca ... Especialmente no los de seguridad ...

¿Otros problemas?

Algo más que vale la pena considerar es si usar un servicio como FileThis vale la pena el costo adicional del riesgo financiero para su vida. Usted es potencialmente responsable de cualquier transacción que se realice con sus credenciales de inicio de sesión bancarias. También es contrario a los términos y condiciones dar sus datos de inicio de sesión a cualquier otra persona. Del mismo modo, las garantías de responsabilidad de prevención de fraude (como la proporcionada por Bank of America) establecen específicamente "no compartir información personal o de cuenta con nadie". Presumiblemente esto se extiende a las empresas, no solo a las personas.

Al proporcionar credenciales de inicio de sesión a su banco, se expone al riesgo de robo de identidad. Cualquier persona que obtenga acceso a su almacenamiento en la nube tendría acceso a todas sus declaraciones, políticas y documentos personales. ¿Cargaría sus extractos bancarios en Dropbox (y nuevamente), Evernote (nuevamente) o Box? El riesgo puede ser pequeño, pero es real. FileThis indica que solo un empleado reclama cualquier tipo de calificación informática. Parece hacer malabares con la seguridad junto con varias otras tareas. ¿Es eso suficiente para proteger sus datos?

Cifrado?

Al igual que muchos servicios, FileThis afirma cifrar sus datos. De hecho, en realidad dan algunos detalles técnicos que lo rodean. Pero al leer su sitio web, detectamos posibles agujeros. No se menciona en absoluto el cifrado cuando se analizan sus afirmaciones de que admiten Box o Dropbox. Ambos (como se mencionó anteriormente) tienen pasados ​​de seguridad menos que estelares, ¡Dropbox en particular! FileThis admite la sincronización con Personal (y Personal parece usar cifrado para almacenar sus datos), pero como con la mayoría de los productos basados ​​en la nube que afirman ofrecer cifrado, el servidor web puede mostrar sus datos en el navegador, lo que significa que las claves están disponibles al proveedor Y, como era de esperar, dada la situación de Dropbox y Box, la integración de Google Drive no cifra sus datos.

Dado que puede acceder a sus datos a través del sitio web FileThis, está claro que poseen las claves de cifrado necesarias para descifrar y ver esa información. Esto significa que si pierden las llaves, se las roban o se compromete su servicio, el robo de identidad se convierte en un riesgo.

En sus términos y condiciones, FileThis establece que

Proteger sus documentos y las contraseñas y nombres de usuario de su cuenta es muy importante para nosotros. Hacemos todo lo posible para garantizar que estos sean seguros contra el acceso y la divulgación no autorizados mediante una variedad de procesos y procedimientos de autenticación, cifrado y seguridad. Sin embargo, en la era de Internet, no existe una garantía del 100% de dicha seguridad y usted comprende esto y acepta que el Servicio se proporciona "TAL CUAL" y sin garantía ni garantía.

Como medida de la confianza que FileThis tiene en sus precauciones de seguridad, todos los oficiales de FileThis usan nuestro servicio de la manera que usted lo haga.

Si usar FileThis es un requisito previo para trabajar para ellos, ciertamente puedo decir que la confianza de sus empleados en su propio producto es muy alta. El código no es de código abierto, por lo que no puede ser auditado por fallas. Este servicio es un gran objetivo: si obtiene una contraseña, gana el premio gordo de robo de identidad definitivo: la identidad literal y completa de alguien, incluidos todos los documentos que necesitaría para solicitar una identificación y crédito a su nombre, o incluso para autenticarse en su Banco como ellos mismos. Cuando su banco solicita información de transacciones pasadas por seguridad, ¡cualquiera que tenga acceso a sus estados de cuenta puede proporcionar esto! Esto incluye a cualquier persona con acceso a sus declaraciones de "nube".

Twaddle parlante

También encontramos que el technobabble en el sitio no es convincente. Dicen en su página de seguridad que

Las credenciales de su cuenta FileThis y de todas las conexiones de su cuenta se cifran desde el momento en que se ingresan. En nuestros servidores y en nuestra base de datos, sus credenciales se cifran utilizando el cifrado AES de 256 bits, que es el estándar de cifrado más alto disponible en la actualidad. En pocas palabras: incluso si un hacker pudiera obtener acceso a sus credenciales en nuestros servidores (no pueden), sería imposible para ellos leer cualquiera de los datos.

OK, tomemos eso al pie de la letra, ¡y supongamos que su seguridad es buena! El problema es que su servicio accede a sus credenciales para iniciar sesión en esos sitios y recuperar sus datos. Cualquiera que entre en sus servidores tendría acceso a los contenidos descifrados, ya que tendría acceso a las solicitudes que se realizan a los sistemas remotos (los bancos y otras compañías). Dado que FileThis puede verificar si hay nuevos documentos cuando no está conectado y conectado, no requieren su contraseña para acceder a los datos de su cuenta, lo que significa que tienen las claves para descifrar los datos en su base de datos. Sus datos se cifran allí, utilizando una clave que se encuentra dentro de su infraestructura. ¡Eso no es tan seguro como sugieren!

Si alguien ingresa, obtendrá las contraseñas de su cuenta y podrá averiguar con qué cuentas se sincroniza. Si sincroniza sus datos externamente (con otras cuentas en la nube), es posible que no se guarden en los sistemas FileThis, pero los atacantes aún podrían obtener acceso a los datos "en tránsito" (un atacante podría filtrar estos archivos al realizar un segundo acceso al archivos directamente en lugar de pasarlos al servicio de almacenamiento en la nube que usa).

La existencia de empresas como esta demuestra la confianza ciega (y quizás estúpida) del público en general en "la nube". Me puedo imaginar un servicio, uno que se ve y se siente notablemente similar a este, que en realidad es un engaño o honeypot elaborado para robar la identidad de las personas: ¿Quién dice que ser audaz no funciona? Solo pregunte a los usuarios por sus detalles, ¡entonces no puede ser acusado de robo!

Por mucho que odie sonar como la nota clave de lanzamiento de un producto de Apple, ¡realmente hay más! De los términos y condiciones del servicio de la compañía:

A los fines de estos Términos de uso y únicamente para proporcionarle la Información de la cuenta como parte del Servicio, usted le otorga a FileThis un poder notarial limitado y designa a FileThis como su apoderado y agente para acceder a sitios de terceros, recupere y use la información de su cuenta con todo el poder y la autoridad para hacer y realizar cada cosa necesaria en relación con tales actividades, como podría hacer en persona. Usted comprende que el Servicio no está patrocinado ni respaldado por ningún tercero accesible a través del Servicio.

¡Ahí vas! ¡Acaba de nombrar un poder notarial sobre al menos algunos aspectos de sus finanzas! ¿Se dio cuenta de que podía otorgarle a alguien un poder notarial a través de un acuerdo de ajuste de clic? No; ¡Yo tampoco! Por supuesto, esto huele a abogados enloquecidos. Existe al menos cierta ambigüedad en cuanto a qué derechos pretende otorgar este acuerdo a FileThis: usted les asigna la capacidad de "utilizar la información de su cuenta con todo el poder y la autoridad" para hacer qué, ¿exactamente? ¿Pueden usar su información para drenar su cuenta? Si bien no creo por un momento que este acuerdo de poder legal pueda resistir incluso a los jueces menos inclinados técnicamente, ¡todavía es desafortunado que la gente no lo cuestione antes de hacer clic!

¿Qué pasa si soy un negocio?

FileThis no solo trata de apuntar al consumidor ingenuo y menos inclinado tecnológicamente. Su servicio "Pro" (en teoría) pone a su asesor financiero, contable o asesor fiscal en un riesgo similar al alentarlos a usar FileThis para almacenar los datos de sus clientes. Si alguna vez hubo una mina de datos para atacar, esto es todo. La información contenida en las cuentas de estos contadores (no científicos informáticos, con poca probabilidad de elegir una buena contraseña) es muy valiosa para los malos actores.

Todo el concepto de FileThis (y FileThis Pro) vuela frente a eventos recientes en los que los delincuentes obtienen acceso a las cuentas de otras personas en "almacenamiento en la nube" y roban sus archivos. Y no importa cómo se haga: una vez que le roben sus extractos bancarios o tarjetas de crédito / facturas de servicios públicos, su identidad estará en riesgo. No importa quién tenga la culpa, su crédito puede arruinarse. La recuperación puede ser difícil. Si esta información llegara a un torrente, estaría disponible durante mucho tiempo. El inconveniente será significativo.

Redondeando

Si ha utilizado FileThis, le insto a que considere esta decisión detenidamente. Si decide cancelar, envíeles un correo electrónico para asegurarse de que realmente eliminaron todo. Luego vaya a cada proveedor de cuenta y restablezca sus contraseñas. Inicie sesión en un sistema de monitoreo de crédito y esté atento para asegurarse de que no ocurra nada extraño. Luego vaya a sus cuentas de almacenamiento en la nube y elimine todos los archivos que almacenó allí. Luego, elimínelos de las características de recuperación o historial. El hecho es que no podrás deshacerte de ellos por completo; Habrá copias de seguridad.

Querido Internet, piensa en esto por un minuto y volvamos a los viejos tiempos cuando éramos más escépticos. ¿Todos sus extractos bancarios, tarjetas de crédito, tarjetas de tiendas, facturas de servicios públicos y documentos de seguros en un solo lugar? ¿La gente realmente piensa que es bueno almacenar en línea, en la nube? Lamentablemente, hoy, parece que sí. ¡Y eso es solo pedir problemas!

¿Cómo sabes que alguna empresa es legítima? ¿Un sitio web llamativo? ¿Algunas páginas web bien redactadas en un blog de WordPress rápido de hacer? ¿Un certificado SSL elegante disponible para cualquiera que registre una empresa? ¿Algunos comunicados de prensa? Los delincuentes no llamarán exactamente a su servicio "identitytheftasaservice.com". Internet está lleno de personas peligrosas, que no tienen sus mejores intenciones en el corazón. FileThis es probablemente una empresa de renombre fundada por emprendedores apasionados. Odiamos destacarlos así. Pero, ¿quién sabe sobre la próxima compañía, o la siguiente después de eso? Instamos al escepticismo, incluso al cinismo.

¿Qué piensas? ¿Usarías un servicio como este? ¿Conoces a alguien que tenga? Comparte tus pensamientos a continuación.

Fuente: FileThis a través de AndroidPolice.