Una empresa de venta de tecnología como relojes o tablets para niños, ha sufrido una brecha de seguridad que podría haber expuesto datos de alrededor de 10.000 menores. Esto se produjo cuando se verificó que un hacker tuvo acceso a las llaves de acceso que poseen las aplicaciones, las cuales tenían más permisos de acceso a los datos de los que debían. Entre los datos que se pudieron haber visto comprometidos, podemos señalar: nombres de menores, número telefónico, localización GPS, fecha de nacimiento, y otros datos opcionales como altura y peso de los menores.
Según se indica en la resolución, el principal factor para hacer posible esta brecha de seguridad fue no haber utilizado una lista de control de acceso (ACL) para la separación de privilegios dentro de la configuración de los datos del servidor.
Por otro lado, destaca también la AEPD que la empresa SoyMomo contaba con mecanismos de encriptación y ofuscación avanzados además de poseer cifrado en la transferencia de datos de las aplicaciones de reloj y tablets para evitar que un hacker intercepte la información cuando se está trasladando de un punto a otro.
Además, la empresa adoptó también medidas reducir la probabilidad de que otra brecha vuelva a ocurrir mediante las siguientes medidas como: implantación de listas de control de accesos (ACL); implementación de Nivel de Permisos (CLP) en las bases de datos para las aplicaciones de Reloj y Tablet. Esto permite que cualquier persona que logre descifrar las llaves Cliente de las aplicaciones, no podrá acceder ni mucho menos modificar los datos almacenados en la base de datos; restringir acceso a información de las llaves públicas («Llave cliente»); modificar medidas de ofuscación del código nativo; implementar algoritmos de encriptación más fuertes.
Por todo ello, la AEPD constató que la empresa contaba con las medidas de seguridad razonables y, además, tomó medidas para evitar que una brecha de seguridad de este tipo se vuelva a producir. También se indicó que las medidas con las que contaba Soymomo eran acordes al riesgo al que se exponían las mismas. Así, se destaca también la rápida actuación desde el mismo momento en que tuvo conocimiento de los hechos, interviniendo de forma activa en su resolución, adoptando todas las medidas y poniendo todos los medios posibles para garantizar su resolución, evitando los posibles efectos perniciosos del incidente, lo cual llevó a que la empresa no fuera sancionada por la brecha de seguridad sufrida.”