DAY ONE: Error crítico de seguridad

“Escribir es terapeutico” fue lo primero que me dijeron, lo segundo que escuche fue algo como esto “escribir un diario no solo te ayuda a crear el hábito de escribir, sino que como lo dije al principio se convierte en algo que te ayuda a tratar con la vida”. Con eso me basto para pensar en que no era una mala idea escribir un diario, pero de hacerlo sería digital y luego de leer sobre aplicaciones para llevar a cabo el ejercicio encontré  DAY ONE (http://dayoneapp.com). Esta app fue seleccionada por los editores de la App Store como aplicación del año en 2012 y aparece en la internet como la mejor opción para llevar un diario así que fui por ello, meses después me daría cuenta de un grave error en su seguridad.

027-ONE-DAY-Error

¿Para qué usas un password? Para proteger la información que tienes en una aplicación, una cuenta digital o un archivo cualquiera… sobre todo en un diario donde puedes tener información muy personal que esperas guardar para el “yo futuro”.. de otra forma lo publicarías en la web inmediatamente.

Como otros intentos fallé con esto de tener un diario, escribí muy poco en muy pocos días y se quedo rezagado entre tantas actividades diarias y rutinas exhaustivas de trabajo. Meses después cuando reviso algo que llamo “general tracking” me doy cuenta que estoy perdiendo de vista el objetivo de escribir y recuerdo porque esta esa aplicación en mi computadora.

Con las energías renovadas (es impresionante como puedes restablecer el orden con un simple análisis) abro la aplicación y la el logeo (ingreso de password) se abre paso en la pantalla, dos segundos después: estaba tratado de recordar cual era mi password.

Al buscar en la web de la aplicación y el soporte al producto encuentro lo siguiente: https://dayone.zendesk.com/hc/en-us/articles/200145995-I-forgot-my-password-for-Mac-Day-One

  1. La gente de BLOOM te da las instrucciones de como eliminando un archivo puedes eliminar el paso de password entre la aplicación y tu cuenta (no hay una doble validación o recuperación controlada).
  1. Te están enseñando como llegar a los archivos de configuración de la aplicación. Esto debería estar a través de una interfaz segura, una opción para recuperar password y no para omitir el paso de validación.
  1. Hasta acá no han leído lo peor. En el siguiente punto.
  1. Cuando llegas al directorio que indica el artículo te percatas que existen dos directorios y un archivo:

a) plist: que contiene la información de tu password, al eliminar este archivo se omitirá automáticamente este paso de validación (genios).

b) entries: SORPRESA!! En este directorio encuentras una serie de archivos XML con todos tus post, sin encintar (irónicamente el password si se almacena encriptado en el archivo anterior) y además tampoco tienen una estructura compleja. Así que ni siquiera necesitas entrar a la aplicación para leer los post del diario de otra persona que te ha prestado la computadora (en el mejor de los casos).

c) photos: SORPRESA!! todos aquellos archivos que has agregado a las entradas.

Bastante decepcionado de que una aplicación con tan elegante interfaz y eficiente sistema de sincronización multiplataforma sea tan malo en el punto más importante y básico de un DIARIO PERSONAL … la seguridad de la información.

No lo recomiendo. 

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos necesarios están marcados *

Puedes usar las siguientes etiquetas y atributos HTML: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>