Droite au Coeur: El Desarrollo del Primer Escándalo de Seguridad de Bubble.io

Also available in :

by

Victor Nihoul

-

Aug 7, 2023

-

🇪🇸 Spanish

Explora los detalles intrincados del primer gran escándalo de seguridad de Bubble.io que involucra una violación de datos en el sitio de citas francés, Droite au Coeur. Descubre cómo este incidente, facilitado por una agencia de Bubble.io, ha expuesto preocupaciones de seguridad apremiantes en el creciente espacio de no-código y las repercusiones que tiene para el futuro.

X, la empresa que desarrolló el sitio, nos dio confianza inicialmente y nos aseguró acerca de la seguridad [...]. Sin embargo, esto no ocurrió, y el seguimiento fue deplorable.

Según la traducción del francés, Stéphane resaltó la angustia causada por las circunstancias.

En este artículo, profundizaremos en los detalles de la violación, la resolución posterior, las atribuciones de responsabilidad y las implicaciones de gran alcance de este evento.

Los Detalles del Incidente

Las Revelaciones de Mathis Hammel

El 29 de julio de 2023, Mathis Hammel, un usuario de Twitter, publicó un impactante tuit. Se dirigió directamente al equipo detrás del sitio de citas, @CoeurDroite, instándolos a priorizar la ciberseguridad, revelando que toda su base de datos personal era vulnerable a una violación. Hammel expuso la vulnerabilidad de la plataforma, que incluía detalles críticos como estado civil, orientación sexual y direcciones de correo electrónico.

Hola @CoeurDroite , ¿sería buena idea interesarse por la ciberseguridad? Es posible filtrar toda la base de datos personal de tu sitio de citas en cuestión de segundos: estado civil, orientación sexual, dirección de correo electrónico...

La aplicación comprometida, Droite au Coeur, es un sitio de citas para patriotas franceses, a menudo asociado con afiliaciones políticas de extrema derecha. Esta inclinación ideológica probablemente lo convirtió en un objetivo atractivo. Hammel amplió sobre la naturaleza de la violación en tweets posteriores, resaltando la sorprendente facilidad con la que descubrió la falla, simplemente presionando F12. El problema principal fue la falta de reglas de privacidad que dejaron expuesta la base de datos de la aplicación y fácilmente accesible a través de las Herramientas de Depuración de cualquier navegador para aquellos con conocimientos fundamentales.

En el período posterior, Hammel y otros usuarios de Twitter contrastaron humorísticamente la realidad de esta violación, su asombrosa simplicidad, con las imaginadas complejidades del hackeo.

Cómo la gente imagina el pirateo vs. lo que realmente sucedió

La Naturaleza de los Datos Expuestos


Inicialmente, la filtración de datos parecía comprender principalmente detalles de usuarios destinados a ser públicamente accesibles a través de la aplicación (como orientación sexual, estado civil). Sin embargo, dado el sesgo político del sitio web, la filtración potencialmente colocó a los usuarios en riesgo de ser objeto de un enfoque impulsado ideológicamente. Un simple script podría facilitar la exportación de toda la base de datos, incluida la lista de usuarios.

A medida que se hizo evidente la magnitud de la violación, se descubrió que otros datos no públicos también se habían comprometido. Esto incluía direcciones de correo electrónico y, lo más preocupante, geocoordenadas precisas y direcciones postales sin ninguna obfuscación.

En cuanto a la ciberseguridad, descubrimos que los usuarios estaban proporcionando inadvertidamente su dirección completa en respuesta a una solicitud de su código postal. Dada la naturaleza política de la aplicación, los datos filtrados pusieron a sus usuarios en un alto riesgo de acoso y vulneración de la privacidad. Además, la violación de datos violó varias regulaciones, incluidas las leyes europeas de GDPR y las leyes francesas de privacidad de datos, lo que podría llevar a repercusiones legales para la aplicación.

El Inmediato Después y su Impacto

El tuit se volvió rápidamente viral, acumulando casi seis millones de vistas, probablemente debido a las implicaciones políticas de la violación. A medida que los usuarios de Twitter interactuaban con el tuit original, el incidente ganó relevancia en los medios tecnológicos y finalmente llamó la atención de los canales de televisión nacionales.

Extract from the main French TV channel BFMTV. (screenshot)
"Droite au cœur, sitio de citas para "patriotas", estaba filtrando los datos de sus usuarios"Extracto del canal principal de televisión francés BFMTV.

A medida que las noticias se difundieron, la aplicación experimentó un aumento sin precedentes en el tráfico y en las inscripciones de perfiles falsos. El equipo se vio obligado a cerrar temporalmente el sitio web para realizar tareas de mantenimiento y resolución de problemas, con el fin de proteger a sus usuarios.

Las repercusiones continuaron, con un golpe significativo a la reputación de la plataforma, ya que muchos usuarios existentes optaron por eliminar sus cuentas debido a preocupaciones sobre la seguridad de sus datos personales.

Este incidente marca un momento crucial tanto en el ecosistema de Bubble como en el ámbito más amplio de No-Code. El primer gran escándalo de seguridad público que involucra una aplicación construida en Bubble, es probable que influya de manera significativa en las futuras medidas de ciberseguridad dentro de la plataforma Bubble.io.

Asignación de Responsabilidad

En cada evento en el que está involucrado el riesgo, es habitual encontrar a alguien a quien responsabilizar. La aplicación en cuestión fue diseñada por una agencia francesa de Bubble.io, y la pregunta crucial ahora es: ¿quién debe asumir la responsabilidad por la filtración de datos? ¿Es Droite au Coeur, los creadores de la aplicación, o recae la responsabilidad en la agencia francesa que desarrolló la aplicación, o tal vez en Mathis Hammel, el hacker? La resolución de esta pregunta es bastante compleja.

Evaluando el Enfoque del Hacker

Varias personas, incluidos conocidos hackers de sombrero blanco, recurrieron a Twitter para cuestionar la ética de los métodos de Mathis Hammel y su decisión de revelar públicamente la filtración.

No es muy ético exponer públicamente una falla que puede afectar a muchos usuarios...

La elección de exponer públicamente una vulnerabilidad de este tipo plantea preocupaciones éticas, ya que podría poner en peligro a muchos usuarios y erosionar la confianza en el negocio. De hecho, la divulgación pública de dichas violaciones puede afectar no solo la reputación del negocio, sino también poner en peligro a sus usuarios que no tienen responsabilidad en el incidente. Por otro lado, ayuda a resaltar la posibilidad de una violación de seguridad, haciendo que los usuarios sean conscientes de la vulnerabilidad de sus datos. Nos encontramos con un dilema similar al lanzar nuestro Verificador gratuito de normas de privacidad para aplicaciones de Bubble.


La estrategia óptima al descubrir una vulnerabilidad de este tipo es informar a los propietarios de la aplicación para rectificar el problema. La Comisión Europea también proporciona pautas para tratar las filtraciones de datos si los propietarios de la aplicación no responden, las cuales se pueden encontrar aquí: Directrices de la Comisión de la UE sobre filtraciones de datos.

Hacer pública la filtración es una cuestión de elección personal, siempre y cuando la violación haya sido corregida y ya no sea explotable. Sin embargo, en este incidente en particular, tenemos objeciones al enfoque del hacker, ya que optó por filtrar los datos simplemente para crear revuelo en Twitter y por motivaciones políticas, sin esperar a que se resolvieran las vulnerabilidades. Esta decisión ha puesto en riesgo a toda la base de usuarios de Droite au Coeur.

La supervisión de la agencia

Significativamente, la aplicación no fue desarrollada internamente, sino que se subcontrató a una agencia francesa de Bubble.io.

El CEO de Droite au Coeur expresó su frustración con el proceso, afirmando: "La estructura a cargo del desarrollo del sitio hizo lo mejor que pudo, pero el marco original establecido por [el desarrollador] fue catastrófico, ilegible e incomprensible."

La agencia figura entre las 20 principales agencias de Bubble en Francia, pero no revelaremos su nombre ya que aún no ha sido hecho público.

Nuestra investigación, llevada a cabo a principios de este año sobre la seguridad del ecosistema, coincide con esto. Descubrimos que el 89% de las 100 mejores aplicaciones mostraban al menos una vulnerabilidad de seguridad crítica. También determinamos que alrededor del 65% de las aplicaciones desarrolladas por agencias de Bubble tenían vulnerabilidades. (Lee nuestro informe de 2023: Una Visión Integral de la Seguridad de las 100 Mejores Aplicaciones Creadas en Bubble.io)

Estos datos respaldan la noción de que muchas agencias no están al día en cuanto a garantizar la seguridad de las aplicaciones que producen, y este parece ser el primer ejemplo público de ello.

Part of apps with sensitive data leaks from the Top 100 Bubble.io apps. Data that could not be identified as either sensitive or secure is referred to as “Unknown”.
Parte de las aplicaciones con filtraciones de datos sensibles de las 100 mejores aplicaciones de Bubble.io. Los datos que no pudieron ser identificados como sensibles o seguros se denominan "Desconocidos".

De manera sencilla, la agencia podría ser considerada responsable de la supervisión y la filtración de seguridad. Sin embargo, la realidad es más compleja. Como la mayoría de las agencias, una vez que la aplicación está finalizada y se lanza, se entrega a los clientes, otorgándoles un control total. Dado que la mayoría de los clientes de la agencia carecen de experiencia técnica, pueden cometer fácilmente errores o cambiar la configuración de las Normas de Privacidad, lo que fue el culpable en este caso. El término erróneo "no-code" a menudo engaña a los clientes haciéndoles creer que pueden realizar cambios sin esfuerzo después de que el desarrollo de la aplicación haya concluido. Además, rastrear los cambios realizados en una aplicación para identificar quién alteró una configuración específica puede ser todo un desafío. Las repercusiones del incidente en la reputación de la agencia siguen siendo inciertas ya que su nombre no ha sido asociado públicamente con el evento. "Por el momento, no planeamos presentar demandas legales contra [la agencia de Bubble]", como informó Stéphane, indicando una respuesta orientada hacia el futuro por parte de la empresa.

Cuestionando a Bubble.io

Curiosamente, ni el flujo de Twitter ni las transmisiones de TV mencionaron que la aplicación fue desarrollada en Bubble.io o No-code, posiblemente porque el aspecto político lo eclipsó. El siguiente objetivo obvio para culpar es Bubble mismo. ¿Cómo podría ocurrir una filtración de datos de este tipo en Bubble? La respuesta no es sencilla. Bubble.io es una plataforma robusta con rigurosas medidas de seguridad de datos. Sin embargo, su accesibilidad y su interfaz fácil de usar atraen a un público que puede carecer de un profundo conocimiento en ciberseguridad y comprensión de las regulaciones actuales de privacidad de datos, lo que podría representar riesgos potenciales para los usuarios finales. Este problema se agrava aún más por la falta de información sobre prácticas de seguridad y la escasez de informes públicos sobre vulnerabilidades anteriores o conocidas (este incidente siendo el primero). En última instancia, Bubble proporciona las herramientas necesarias para asegurar una aplicación, pero la responsabilidad recae en los desarrolladores (tanto agencias como individuos) para investigar, aprender e implementar estas herramientas para garantizar la seguridad de la aplicación. Recientemente, han surgido herramientas de terceros para simplificar el proceso de seguridad para su aplicación de Bubble.io. A pesar de nuestra aguda conciencia de la seguridad, el error humano siempre es una amenaza potencial. Herramientas como Flusk Vault (nuestra oferta) o NcScale ayudan a identificar y rectificar vulnerabilidades de seguridad en su aplicación Bubble.


Implicaciones para el Futuro

En lo que parece ser un acontecimiento sin precedentes, este evento señala el primero de potencialmente muchos más por venir. Es esencial contextualizar este evento dentro del telón de fondo del ascenso meteórico de las herramientas de no-code, específicamente Bubble.io. Con un número creciente de aplicaciones que se desarrollan a través de Bubble.io, es inevitable que más aplicaciones contengan vulnerabilidades de seguridad. Por lo tanto, debemos mantener un enfoque implacable en la privacidad y la seguridad de los datos para preservar la seguridad y la credibilidad del ecosistema. Adentrándonos en un contexto más amplio, este incidente sirve como un recordatorio potente de las crecientes preocupaciones de seguridad que rodean las plataformas de no-code. A medida que más novatos se aventuran en el desarrollo de aplicaciones a través de estas plataformas, la probabilidad de lapsos de seguridad inadvertidos aumenta, creando un entorno propicio para las amenazas cibernéticas. El panorama de los hackers también se está volviendo más complejo y peligroso en el espacio de no-code, con hackers expertos que identifican y explotan estas vulnerabilidades en su beneficio.

Growth curve of the number of apps running on Bubble.io between 2013 and 2022. Source BuiltWith.
Curva de crecimiento del número de aplicaciones que utilizan Bubble.io entre 2013 y 2022. Fuente: BuiltWith

Hemos confirmado que Droite au Coeur ha tomado las medidas necesarias para rectificar las vulnerabilidades de seguridad, protegiendo así a sus usuarios de ahora en adelante. Una pregunta intrigante después de tales incidentes es si una empresa puede recuperar la confianza después de una violación de seguridad. La historia proporciona ejemplos variados. Algunas empresas, como Adobe, han logrado recuperarse más fuertes después de una violación de datos al implementar medidas de seguridad sólidas y demostrar su compromiso con la protección de los datos de los usuarios. Sin embargo, otras luchan por recuperar la confianza del consumidor y sufren daños en su reputación. Mucho depende de cómo responde la empresa a la violación y cómo se comunica con sus usuarios. El tiempo dirá qué trayectoria seguirá Droite au Coeur.