En las últimas horas se ha dado a conocer que miles de correos electrónicos se han filtrado a través de la aplicación Shot on OnePlus donde atacantes han podido aprovecharse de una vaga seguridad en la API.
La gente de OnePlus ha tenido un pequeño descuido relacionado con la aplicación Shot on OnePlus, y un último informe ha indicado que miles de correos electrónicos y nombres de usuario han podido quedar expuestos.
Si tienes un teléfono OnePlus, probablemente sepas de qué va la aplicación Shot on OnePlus que puedes acceder a la misma a través del selector del fondo de pantalla y que si cargas una foto, ésta será compartida con otros usuarios de OnePlus para que también la descarguen.
Según parece, la API utilizada para conectar la aplicación al servidor de OnePlus está desprotegida, en concreto alojada en open.oneplus.net, y para acceder a la misma lo único que se necesita es un token de acceso. Si bien se necesita otra clave para obtener dicho token, no está encriptada, con lo que es fácil de obtener.
Evidentemente un atacante con acceso a la API puede acceder a una gran cantidad de información de los usuarios que hayan hecho uso de la aplicación, incluido su nombre, dirección de correo electrónico, país de residencia, modelo del teléfono y otras informaciones. Lo malo, es que además de poder acceder a esta información, también puede ser editada por el atacante.
Ante la denuncia, OnePlus ya ha realizado cambios rápidos en la API para resolver la situación, pero si has estado usando Shot on OnePlus durante los últimos meses, no descartes que tu información haya quedado expuesta. Recientemente la empresa ya tuvo problemas con el tema de las pulsaciones fantasma en los OnePlus 7 pro.