Yoojo, una app para contratar servicios a domicilio como manitas, limpieza, cuidado de niños o clases particulares anteriormente conocida como Youpijobs, ha sufrido una brecha de seguridad.
El equipo de Cybernews se ha percatado de que la app, que acumula medio millón de descargas en Google Play, no había protegido convenientemente a sus usuarios, al alojar en la nube una base de datos no protegida con contraseña.
Los datos estuvieron durante 10 días completamente desprovistos de protección, dejándolos al alcance de cualquiera.
A causa de este 'despiste' 14,5 millones de archivos sensibles podrían estar en manos de los ciberdelincuentes.
Los cibermalos podrían haberse apropiado de nombres y apellidos, pasaportes, otros documentos de identidad oficiales, números de teléfono y mensajes de texto.
No obstante, por el momento no hay indicios de que estos detalles personales se hayan usado para fines maliciosos.
Desde Yoojo se hicieron cargo del aviso de Cybernews y resolvieron el problema después de que sus investigadores contactaran con la empresa.
La aplicación se utiliza en España, así como en Reino Unido y Holanda, pero es más popular en otros países francófonos como Francia o Bélgica. De hecho, su descripción y pantallazos en las tiendas de aplicaciones está en este idioma.
Peligros para los afectados
Los investigadores creen que exponer estos datos pone en peligro a los individuos, ya que los atacantes podrían utilizar la información comprometida para robo de identidad y diversas estafas.
Dado que los números de teléfono de los proveedores de servicios se filtraron, los atacantes podrían usar estos datos para establecer comunicaciones falsas y exigir pagos por servicios a los usuarios de la aplicación.
“Los datos personales filtrados permiten a los atacantes crear campañas de phishing, vishing y smishing altamente dirigidas. Los correos electrónicos fraudulentos y las estafas por SMS podrían implicar la suplantación de proveedores de servicios de Yoojo para solicitar información sensible, como detalles de pago o documentos de verificación”, han alertado los expertos en ciberseguridad.