En las plataformas australianas utilizadas por los agentes inmobiliarios para cargar documentos para inquilinos y propietarios, la información personal de las personas se expone a través de hipervínculos accesibles en línea.
Un análisis de siete plataformas de alquiler proporcionado a Guardian Australia por un investigador que deseaba permanecer en el anonimato encontró que los actores de amenazas podían acceder a millones de documentos de alquiler.
Regístrese: correo electrónico para recibir noticias de última hora de AU
Los agentes inmobiliarios gestionan diariamente datos confidenciales de inquilinos y propietarios, incluidos contratos de alquiler, documentos de identificación, recibos de pago y referencias personales. Las plataformas en línea permiten a los agentes almacenar estos documentos en la nube y hacerlos accesibles a través de hipervínculos.
El investigador descubrió que los rastreadores web pueden escanear y almacenar en caché estos enlaces.
Guardian Australia ha visto seis ejemplos de contratos de arrendamiento, referencias personales y de empleadores y otros documentos disponibles en línea. Aunque los enlaces estaban ocultos por caracteres aleatorios, no era necesario iniciar sesión para verlos.
El investigador señaló que la plataforma subyacente utilizada por las empresas de alquiler facilita el acceso a los documentos simplemente sumando o restando un número a la URL que las empresas inmobiliarias envían a los posibles inquilinos.
El investigador dijo que los documentos se remontan a 2017, siendo el primer código de invitación 1 y ahora llegando a 4 millones.
En otro caso, el investigador pudo acceder a un contrato de alquiler porque una plataforma utilizaba acortadores de URL, que hacen que las URL sean más fáciles de adivinar. Una vez que se accedía al contrato de alquiler, la plataforma proporcionaba una cookie de autenticación que proporcionaba acceso a todo el historial de alquiler, mantenimiento y otros documentos del propietario.
Inspection Express, una plataforma que ha demostrado brindar acceso a hipervínculos sin requerir autenticación, dijo que ha realizado una revisión de cómo se accede y comparte los enlaces a sus documentos. La compañía dijo este mes que había mejorado su seguridad después de que el investigador informara el problema directamente a la compañía el año pasado.
“Inspection Express no hace que los documentos de los clientes sean visibles públicamente o indexables por Google u otros motores de búsqueda”, dijo un portavoz. “Se accede a los documentos a través de enlaces controlados y nuestra plataforma no los publica en la web abierta, y nuestra revisión no ha revelado ninguna detección de web abierta”.
“Las mejoras incluyen enlaces a documentos que caducan automáticamente después de un número limitado de accesos o un período de tiempo definido, así como restricciones adicionales para compartir y copiar enlaces”, dijo el portavoz. “Los destinatarios de destino pueden solicitar de forma segura un nuevo enlace si es necesario”.
Otra plataforma identificada por el investigador ha introducido una medida de seguridad adicional que requiere que el usuario ingrese su código postal antes de acceder al documento.
Varias plataformas del estudio no respondieron a las solicitudes de comentarios ni a la pregunta del investigador.
Samantha Floreani, defensora de los derechos digitales y estudiante de doctorado que analiza la tecnología de alquiler, dijo que la investigación muestra una falta muy grave de consideración por la privacidad y la seguridad en la industria.
“Es impactante que meses después de haber sido informadas de estas vulnerabilidades, la mayoría de las empresas no hayan tomado ninguna medida”, afirmó. “Se trata de un desprecio flagrante y preocupante de la ley y de la seguridad de las personas.
“Si bien estas empresas obtienen ganancias actuando como intermediarias entre inquilinos, agentes y propietarios y recopilando grandes cantidades de datos, los beneficios para los inquilinos son, en el mejor de los casos, cuestionables”.
Floreani dijo que las empresas, si no se controlaban, estaban poniendo en riesgo a un gran número de australianos.
“Los inquilinos tienen pocas oportunidades de negarse a utilizar estos sistemas, ya que decir no puede resultar en represalias, una mala referencia o la pérdida de la propiedad”, dijo.
“No tener más remedio que utilizar estas plataformas para obtener y retener viviendas, y dejar desprotegida la información que luego tienes que revelar, es peor en un sistema que ya es profundamente deshumanizador”.
Un portavoz de la Oficina del Comisionado de Información de Australia dijo que la agencia no había recibido ninguna notificación de las plataformas sobre posibles violaciones de datos.
El portavoz dijo que las crecientes demandas de las empresas de alquiler y de bienes raíces de que las personas proporcionen su información personal para alquilar aplicaciones tecnológicas era una “prioridad clave” para la OAIC este año.
“Es un sector que crea desequilibrios de poder e información y (la OAIC) actualmente está revisando plataformas tecnológicas de alquiler”, afirmó el portavoz.
About The Author
