El error de Edison permitió el acceso a las cuentas de correo electrónico de otros usuarios

Los desarrolladores de Edison Mail han revertido una actualización de la aplicación de correo electrónico emitida el viernes, después de que algunos usuarios descubrieron un problema de seguridad en una nueva función de sincronización donde las cuentas de otras personas eran accesibles.

El viernes, Edison obtuvo una nueva función que permitía a los usuarios de la aplicación de correo electrónico de terceros sincronizar su cuenta en Apple dispositivos, incluidos Mac y iPhone. La función sincronizó las “conexiones de correo electrónico” entre dispositivos, pero un error en el software provocó consecuencias no deseadas.

Los usuarios publicaban en instancias de redes sociales donde las cuentas de correo electrónico de un completo desconocido aparecían en sus dispositivos, en lugar de las suyas, según lo informado por El borde. Además, las cuentas aparecían sin requerir ninguna autenticación por parte del usuario original, con los contenidos disponibles de inmediato para el espectador.

  

A las 10:50 p.m. PST del viernes por la noche, se introdujo un error de seguridad para una pequeña fracción de nuestros usuarios de iOS. Hemos revertido esa actualización. Todos los usuarios afectados se desconectan y deberán volver a iniciar sesión.

– Edison (@Edison_apps) mayo 162020

Diez horas después de su descubrimiento, Edison confirmó que había una falla en la aplicación experimentada por “un pequeño porcentaje de nuestra base de usuarios”. La compañía retiró rápidamente la actualización y comenzó a contactar a los usuarios afectados para notificarles sobre el incidente y la posibilidad de que otra persona haya tenido acceso temporal a sus cuentas de correo electrónico.

Como parte de la solución, todos los usuarios afectados se desconectaron por la fuerza de la aplicación para cortar las conexiones restantes, y los usuarios debieron volver a autenticarse con la aplicación.

Edison fue identificada en febrero como una de una serie de aplicaciones que recopilaban datos sobre sus usuarios, monitoreando el contenido de los mensajes de los usuarios para proporcionar botones de un solo clic para acciones y respuestas enlatadas. En el informe de febrero, se alegaba que Edison vendió datos a clientes de finanzas, viajes y comercio electrónico derivados de los correos electrónicos de los usuarios.

En ese momento, sus desarrolladores defendieron el raspado alegando que ignoraron el correo electrónico personal y laboral, extrajeron solo información de compra anónima de correos electrónicos comerciales y permiten a los usuarios optar por no compartir datos con su proyecto de investigación.