OnePlus expuso los e-mails de los autores que contribuyeron a ‘Shot on OnePlus’
OnePlus sabe hacer smartphones realmente buenos pero, de vez en cuando, mete la pata hasta el fondo. Campañas de publicidad poco afortunadas, robo de datos de tarjetas de crédito usadas en su página web o la nefasta idea de dar la vuelta a la pantalla son algunos de los momentos para olvidar que nos ha dejado la compañía en los últimos años.
Hoy la historia se repite ya que hemos conocido que el servicio «Shot on OnePlus» de OnePlus que viene integrado en sus smartphones contenía un fallo de seguridad.
«Shot on OnePlus» es una aplicación accesible a través del menú de selección de fondos de pantalla que contiene fotos tomadas por los usuarios de OnePlus y te da la opción de utilizarlas como fondo de pantalla. OnePlus selecciona una foto nueva cada día para que aparezca en la aplicación.
OnePlus elige las fotos de una biblioteca a la que los usuarios pueden contribuir, ya sea a través de la propia aplicación o del sitio web pero siempre estando conectados a su cuenta OnePlus. Al subir una foto, los usuarios pueden elegir un título, una ubicación y una breve descripción de la foto.
El fallo, descubierto por 9to5Google, permitía obtener las direcciones de correo electrónico de los usuarios que subieron imágenes al servicio. La API utilizada por la aplicación «Shot on OnePlus» no estaba protegida. Cualquier persona con un token de acceso podría utilizar la API y recuperar información privada de las fotogafías como la dirección de correo electrónico del autor.
9to5Google se puso en contacto con OnePlus acerca de estos problemas, pero nunca recibió una respuesta. Sin embargo, OnePlus ha rectificado parcialmente el problema, ocultando las direcciones de correo electrónico de los usuarios y añadiendo comprobaciones adicionales a la API.
Aunque no se sabe por cuánto tiempo esta API ha permanecido desprotegida, es razonable suponer que ha sido así desde el lanzamiento del servicio «Shot on OnePlus» en 2017.
