Más de 120 mil pasaportes, licencias de manejo y documentos de identidad de personas usuarias del servicio de renta de bicicletas Mobike fueron encontradas en línea sin seguridad alguna o cifrado para protegerlas, reportó el medio especializado en tecnología TechCrunch.
La base de datos fue descubierta por el especialista Bob Diachenko en un servidor de Amazon sin seguridad y sin cifrado en febrero de 2022. Cualquier persona que adivinara el nombre de la base podía encontrarla y revisar los archivos, entre los que se encontraban también cerca de 49 mil firmas y 94 mil selfies, los más antiguos con fecha de 2017.
De acuerdo con TechCrunch, la mayoría de los documentos de identidad corresponden a personas usuarias de América Latina. Tras el hallazgo, el medio contactó a Meituan Bike, como fue renombrada Mobike, pero “nadie pareció querer hacerse cargo de los datos expuestos”.
Según Meituan, sus operaciones en América Latina fueron vendidas en 2019, aunque se desconoce a qué compañía; sin embargo, mucha de la información contenida en la base de datos fue recolectada de forma previa a la venta de sus operaciones. TechCrunch buscó establecer contacto a través de correos electrónicos, teléfonos de Mobike y su servicio al cliente, pero sin éxito.
La base de datos habría sido asegurada en mayo, pero todavía se desconoce cuánto tiempo estuvo expuesta y quién pudo tener acceso a la información.
Un número indeterminado de personas usuarias de México podría haber sido afectada por esta falla de seguridad y se desconoce si han sido notificadas de la posible vulneración de sus datos personales. Mobike ha operado en el país desde 2018 y tras 2019 con intermitencia. A mediados de 2021, representantes de la empresa Dezba aseguraron que la compañía seguía ofreciendo su servicio en la capital aunque fuera de manera desleal, ya que no contaba con el permiso de operación del gobierno capitalino.
Actualización (28 de junio de 2022): Mediante correo electrónico, René Ojeda, quien se presenta como apoderado legal de Mobike, indicó que la falla de seguridad únicamente afectó a los servidores de la rama europea que adquirió los derechos de la empresa, “en donde efectivamente se solicitaron datos personales como el pasaporte”.
Ojeda señaló que Mobike ha operado por más de cuatro años en México, donde afirma que nunca se ha solicitado ninguno de los documentos personales señalados en el artículo de TechCrunch. Así mismo, el representante sostuvo que en México y Chile, únicos países en América Latina donde operó Mobike, no se ha suscitado ningún incidente de seguridad.
Hasta el momento, no ha existido ningún posicionamiento público por parte de Mobike ni se han publicado rectificaciones sobre la información por parte de TechCrunch.
Imagen (CC BY) Gibrán Aquino