martes, 21 de enero de 2014

Starbucks, las aplicaciones móviles y como dejar indefensos a los clientes

El 15 de enero de 2014 ComputerWorld publica una columna de Evan Schuman donde cuenta que la aplicación de pagos móviles de Starbucks, ha estado guardando en su log los nombres de usuario, claves y direcciones de correo electrónico en texto plano.

Según cuenta Evan, esta es la aplicación de pagos móviles más utilizada en USA. Los ejecutivos de Starbucks lo confirmaron a última hora del martes 14 de enero.

Las credenciales se almacenan de manera tal que cualquier persona con acceso al teléfono puede ver las contraseñas y nombres de usuario al conectar el teléfono a un PC. No es necesario un jailbreak del teléfono. Y ese texto claro también muestra una extensa lista de puntos de seguimiento de geo-localización (latitud, longitud), un tesoro de joyas de seguridad y privacidad para cualquier persona que se roba el teléfono.

 

La cuestión parece ser un ejemplo de conveniencia superando a la seguridad. Una de las razones de la popularidad de la aplicación móvil de Starbucks, es su extrema facilidad de uso. Los clientes sólo necesitan introducir su contraseña una vez al activar la parte de pago de la aplicación y luego utiliza la aplicación para realizar compras ilimitadas sin tener que introducir la contraseña o nombre de usuario nuevamente. Solo se necesita la contraseña cuando se agrega dinero a la aplicación.

Lo realmente llamativo del caso son las declaraciones de los ejecutivos de la firma; el  CIO, Curt Garner, y el Director de Starbucks Digital Adam Brotman - dijeron en una entrevista telefónica;

Hemos conocido por un período indeterminado de tiempo que las credenciales se almacenan en texto no cifrado. "Éramos conscientes", dijo Brotman. "Eso no era algo que era nuevo para nosotros."
Este es el nivel de preocupación que manifestaron por la seguridad y privacidad de su aplicación.

¿Qué tienen en común este caso con las millones de aplicaciones que se desarrollan, o con Google, o con Facebook?

El pensamiento dominante en esta nueva era expresado por Charlie Wiggs, gerente general del proveedor móvil Mozido;

Una empresa como Starbucks tiene que hacer la elección entre la facilidad de uso para impulsar la adopción y el potencial de uso indebido o el fraude. Starbucks ha optado por hacer que sea muy conveniente. Sólo tienen que asegurarse que su bienestar, no expusiera a sus consumidores y su marca."
Starbucks ha dicho luego de esta nota, que ya ha modificado la aplicación para dotarla de mayor seguridad pero no ha dado ninguna especificación de lo que han hecho ni dicho que los datos ahora se guardan en forma cifrada.

Una de las cosas que hace la aplicación es acceder a tus cuentas bancarias para cargar el dinero.

Dos reflexiones acerca de las Aplicaciones, los nombres de usuario y las claves;

  1. No utilices en una aplicación o en cualquier web, el mismo nombre de usuario y clave que utilizas en las bancas electrónicas.
  2. Nunca permitas que una aplicación o cualquier software pueda acceder a tu cuenta bancaria a través de tu usuario y contraseña. Solo tú tienes que conocer esos datos.
Cuidate y cuida tus datos, todos los días leeemos casos de como las empresas en la búsqueda de su bienestar, ponen en riesgo los aspectos de seguridad y privacidad de los datos de sus clientes.

La conveniencia de uso no tiene porque exponerte a que te vacíen la cuentas bancarias, eso lo puedes controlar utilizando solamente la lógica, los datos necesarios para acceder a mi dinero, solo están en mi cabeza.