La empresa Dubai Taxi Company, una subsidiaria de la Autoridad de Carreteras y Transporte de Dubai, habría filtrado una gran cantidad de información confidencial procedente de la aplicación DTC. Esta app cuenta con más de 100.000 descargas en Google Play.
El equipo de investigación de Cybernews ha dado cuenta de este agujero de seguridad, que habría impactado en más de 197.000 usuarios y casi 23.000 conductores.
Se filtraron detalles como números de licencias de conducir, números de permiso de trabajo, nacionalidades, nombres de usuario, contraseñas cifradas y números de teléfono. Además, también quedaron expuestos los tokens de las apps para email, inicio de sesión, sesión y registro.
El origen del problema
Los datos expuestos se almacenaban en una base de datos abierta de MongoDB, una herramienta usada por las empresas para organizar y almacenar grandes cantidades de información orientada a documentos. Esta base probablemente se usara con fines de desarrollo.
Según Cybernews, la instancia de MongoDB contenía conversaciones con soporte por un total de más de 17.000 registros, así como quejas de clientes, datos bancarios y datos de los pedidos de los pasajeros. Abarcaban un período de 2018 a 2021.
Estos registros, con 1 TB de datos, incluían detalles de ubicaciones, direcciones IP, información sobre si un conductor usó un servicio VPN e incluso el estado de la batería del dispositivo.
DTC controla el 44% de la cuota de mercado de Dubai en cuanto al tamaño de su flota de taxis, operando más de 7.000 vehículos y con una fuerza laboral activa de 14.000 chóferes.