Vulnerabilidad de Edison Mail que permite el acceso no autorizado a las cuentas de correo electrónico de otros usuarios

Escrito por el en Articles

Edison Mail es una de las aplicaciones de correo electrónico de terceros más populares para iPhone, iPad y Mac, pero un aparente fallo en el servicio está suscitando grandes preocupaciones en materia de privacidad. Los usuarios de Edison Mail informan de que después de activar una nueva función de sincronización de cuentas en la aplicación, tienen acceso completo a las cuentas de correo electrónico de otros usuarios de Edison Mail.

Actualización: Edison Mail proporcionó la siguiente declaración a 9to5Mac, añadiendo que el error sólo afecta a los usuarios de iOS.

«Hace 10 horas se desplegó una actualización de software a un pequeño porcentaje de nuestros usuarios de iOS. Algunos de estos usuarios que recibieron la actualización están experimentando un fallo en la aplicación que afecta a las cuentas de correo electrónico y que nos ha llamado la atención esta mañana. Hemos revertido rápidamente la actualización. Nos estamos poniendo en contacto con los usuarios de Edison Mail afectados (limitados a un subconjunto de aquellos usuarios que han actualizado y abierto la aplicación en las últimas 10 horas) para notificarles.

En este momento esto parece ser un error y no un fallo de seguridad».

El problema parece provenir de una nueva función de sincronización que se desplegó en los clientes de Edison Mail la semana pasada. «Las conexiones de correo electrónico se sincronizan a través de todos sus dispositivos», es como Edison describió la funcionalidad en el lanzamiento.

Zach Knox fue uno de los primeros usuarios de Edison Mail en reconocer el problema en Twitter esta mañana:

Acabo de actualizar @Edisonapps Mail &, después de habilitar una nueva función de sincronización, una cuenta de correo electrónico QUE NO ES MÍA apareció en la aplicación, a la que aparentemente podía acceder completamente. Esto es un problema de seguridad SIGNIFICATIVO. Acceder al correo electrónico de otra persona sin credenciales. No volveré a confiar en esta aplicación.

Thomas, otro usuario de Edison Mail, también señaló el problema en Twitter esta mañana. Thomas señaló que aparentemente no puede ajustar la configuración de sincronización:

Chicos, veo el correo electrónico de extraños en mi aplicación después de que añadisteis funciones de sincronización. Puedo ver su correo electrónico, por lo que probablemente pueden ver el mío. A pesar de lo que dice vuestra entrada en el blog, NO PUEDO cambiar mi cuenta de sincronización y lo único que puedo hacer es bloquearme a mí mismo y a ellos para que nunca utilicen la aplicación.

Otro usuario, Petter, dice que puede ver que otro iPhone tiene acceso no autorizado a su cuenta:

No mi correo electrónico. No mi dispositivo. Cómo puede ser que esto siga siendo uno y que no se comunique nada. Está claro que alguien con el dispositivo «iPhone de Mandy actualmente tiene acceso completo a mis cuentas de correo electrónico. Por favor, díganme que el borrado de datos funciona al menos?

Edison Mail no ha respondido a las quejas en las redes sociales, a pesar de que múltiples usuarios han señalado que aparentemente tienen acceso completo a cuentas de correo electrónico que no son suyas. Es imposible saber la magnitud de este problema en este momento, pero incluso si no está afectando a todos los usuarios de Edison, es una vulnerabilidad de seguridad importante para los que están afectados.

Actualizaremos este post si sabemos algo de Edison directamente o si se ponen en contacto con los usuarios afectados.

Hola @Edison_apps Acabo de actualizar la aplicación de correo electrónico y ahora puedo ver el correo electrónico de dos cuentas de las que no he oído hablar en mi vida. Creo que tiene un gran fallo de seguridad. Las tres cuentas que empiezan con el nombre de Chris son mías. Las otras no lo son. pic.twitter.com/1KURaAqaNh

– Audiophile Style (@audiophilestyle) May 16, 2020

Acabo de notar hoy una nueva cuenta en la app de correo. ¡No es la mía! Fuerte violación de la privacidad por parte de @Edison_apps? pic.twitter.com/Eart7sDiiy

– Alen Zubić (@AlenZubic) May 16, 2020

@Edison_apps Chicos, veo el correo electrónico de desconocidos en mi app después de que añadierais funciones de sincronización. Puedo ver su correo electrónico, por lo que probablemente pueden ver el mío. A pesar de lo que dice vuestra entrada en el blog, NO PUEDO cambiar mi cuenta de sincronización y lo único que puedo hacer es bloquearme a mí mismo y a ellos para que nunca usen la aplicación. Clusterf*.

– Thomas W (@trezzer) May 16, 2020

Acabo de actualizar @Edison_apps Mail &, después de habilitar una nueva función de sincronización, una cuenta de correo electrónico QUE NO ES MÍA apareció en la aplicación, a la que aparentemente pude acceder por completo.
Este es un problema de seguridad SIGNIFICATIVO. Acceder al correo electrónico de otra persona sin credenciales. No volveré a confiar en esta aplicación.

– Zach (@zmknox) May 16, 2020

Deja una respuesta

Tu dirección de correo electrónico no será publicada.