El 10 de agosto de 2023, un usuario de Facebook llamado Chris Cullum publicó una publicación que detallaba varias preocupaciones de seguridad sobre Saturn, una aplicación móvil de programación destinada a estudiantes de secundaria.
En menos de una semana, su publicación se compartió más de 100.000 veces.
En esta historia, echaremos un vistazo a la publicación ahora viral de Cullum, las supuestas vulnerabilidades de la aplicación y la historia y los planes de la compañía para el futuro. También expondremos lo que creemos que son preguntas importantes que enviamos a la empresa, aunque no recibimos respuestas.
10 de agosto: La publicación viral en Facebook
Cullum, quien dijo que tenía 41 años, escribió que Saturn llamó su atención después de que su hija comenzara a usar la aplicación para mantenerse al día con su horario de clases. La aplicación también incluye funciones de chat y organización de eventos, así como otras funciones.
Según la publicación de Cullum, a pesar de ser un adulto, pudo crear su propia cuenta con Saturn. Mientras se registraba en la cuenta con su número de teléfono, mintió y eligió la edad de un adolescente. Dijo que luego se le permitió el acceso a los horarios de clases, información, fotos y cuentas personales de redes sociales de los estudiantes de secundaria, sin que aparentemente se requirieran más pasos de verificación.
La naturaleza viral de la publicación hizo que varios lectores nos preguntaran por correo electrónico si la aplicación Saturn se consideraba peligrosa.
La pregunta clave parecía centrarse en si los delincuentes, como los depredadores sexuales, por ejemplo, podían registrarse en la aplicación y acceder a información e imágenes que solo estaban destinadas a ser visibles para los estudiantes.
En un esfuerzo por tratar de responder estas preguntas, analizamos los datos que teníamos disponibles y compilamos una lista de lo que consideramos preguntas clave. Lo más importante para salir de todo esto: una actualización de software.
Nota: Los padres y profesores no pueden acceder a la aplicación, según las normas de la empresa. página del centro de seguridad.
13 de agosto: Anuncio de actualización de software
Tres días después de que Cullum creara su publicación, el creador de la aplicación, Saturn Technologies Inc., publicó lo que parecía ser la primera entrada en el blog en el sitio web de la compañía que decía que habían enviado una nueva actualización de software a Apple.
La publicación del blog comenzó abordando el hecho de que el “rápido crecimiento” de Saturno había traído consigo “preguntas razonables de estudiantes, padres y escuelas”.
La compañía afirmó que la actualización del software de la aplicación incluía “un conjunto de mejoras” para “fortalecer la verificación” y mantener a los usuarios no verificados “aislados de los usuarios verificados y su información”.
En Tienda de aplicaciones de Applela actualización de software se lanzó el 14 de agosto. Se describió de la siguiente manera: “Esta versión contiene un conjunto de mejoras diseñadas para hacer que la plataforma sea más segura”.
En otras palabras, parecía que la publicación del blog de la compañía y la actualización del software pueden haber sido provocadas, al menos en parte, por publicaciones de Facebook de Cullum y potencialmente de otros usuarios. Esta línea de tiempo y las correcciones descritas en la publicación del blog de la compañía indicaron que al menos algunas de las afirmaciones de vulnerabilidad hechas por Cullum tenían validez.
Todo esto significaba que, sí, la aplicación al menos anteriormente presentaba potencialmente algunos peligros debido a las vulnerabilidades que fueron reparadas por la nueva actualización de software. Al igual que con todas las aplicaciones móviles de redes sociales, si se descubrirán o no más vulnerabilidades que existen en una versión actual en el futuro es algo que está por verse.
Nos comunicamos con Cullum a través de Messenger para preguntarle si tenía más ideas para compartir después de la actualización del software. Nos dijo que podría publicar más comentarios en el futuro, pero no transmitió nada nuevo en este momento.
Reseña de Protect Young Eyes y seguridad de la aplicación
Como lo señaló WSLS-TVuna organización conocida como Protege los ojos jóvenes publicó una revisión detallada de por qué no creía que la aplicación fuera segura para los niños. El grupo, que tiene su propia aplicación, dice en su sitio web que su propósito es “ayudar a crear espacios digitales más seguros” para los niños.
La revisión de la organización decía, en parte, “No, Saturno no es seguro para los adolescentes porque introduce riesgos innecesarios en las vidas ya ruidosas y caóticas de los adolescentes, y tiene demasiadas características riesgosas y no probadas”.
En la publicación del blog de Saturn del 13 de agosto, incluyeron la siguiente información sobre seguridad: “Queremos ser claros: nuestro trabajo más importante es mantener seguros a los estudiantes, y nos tomamos esta responsabilidad muy en serio. Trabajamos constantemente para hacer que Saturn sea más seguro para todos los usuarios de la plataforma”.
14 de agosto: Preguntas de Snopes a Saturno
El 14 de agosto, nos comunicamos con Saturn por correo electrónico con una lista de preguntas aclaratorias.
Un portavoz de la empresa respondió a nuestro correo electrónico y nos dirigió a su entrada en el blog y página del centro de seguridady dijeron que no tenían nada más que compartir en este momento.
En nuestras preguntas, queríamos saber más sobre cada una de las tres oraciones en el párrafo a continuación de la publicación del blog de la compañía. Específicamente, queríamos saber la cantidad de “superposición de contactos” que los usuarios necesitaban para ser verificados, cómo Saturn determina si un número de teléfono se considera sospechoso y qué pasos o período de tiempo provocarían una falla en la verificación de la cuenta:
Estamos reforzando la verificación:
Hemos subido el listón de la cantidad de superposición de contactos que los usuarios deben tener con otros estudiantes en una escuela para ser verificados. Las nuevas características en nuestro sistema backend también marcarán y bloquearán proactivamente los números de teléfono que consideremos sospechosos para registrarse en Saturn. Si un usuario no puede verificar usando nuestro protocolo mejorado, se restringirá la participación de su cuenta en cualquier comunidad escolar y eventualmente se eliminará.
Pedimos números del recuento total de usuarios de la aplicación y el número de usuarios activos, así como cuántos miembros del personal trabajaban para la aplicación como moderadores de contenido para monitorear la actividad.
Preguntamos sobre la publicación de Facebook de Cullum y preguntamos si sus hallazgos eran correctos, por qué los problemas potencialmente evidentes no se detectaron y solucionaron antes.
También queríamos saber si la empresa había documentado algún caso de adultos que accedieran a la aplicación para intentar participar en actividades delictivas.
Esta historia se actualizará si recibimos más información de la empresa.
Popularidad de Saturno y vulnerabilidad de datos
Saturno se fundó en 2018. Actualmente solo está disponible como aplicación móvil en dispositivos iOS, donde hasta ahora ha recibido más de 24 200 calificaciones para lograr una puntuación de revisión de 4,7 sobre 5. Le preguntamos a la empresa si una versión de Android de la aplicación estaba en proceso, pero no recibió una respuesta.
Como artículo detallado de 9to5Mac.com señaló, a mediados de agosto, Saturn era una de las principales aplicaciones gratuitas en la App Store de Apple, incluso superando a Microsoft Teams, Spotify, Google Chrome, Cash App y Amazon Shopping.
El artículo también hizo una mención importante del hecho de que, al menos antes de la actualización del software, aparentemente cualquier persona podría haber explotado los datos desde dentro de la aplicación de forma gratuita.
“El problema es que cualquiera podría explotar fácilmente los datos disponibles libremente en la plataforma en el mundo real o en otra plataforma”, escribió el editor senior Zac Hall. “Si la información de un usuario de Saturn se usara maliciosamente, Saturn nunca estaría directamente relacionado con el incidente”.
Financiamiento de Jeff Bezos y Ashton Kutcher
De acuerdo a un oferta de trabajoSaturn está comenzando con capacidades para estudiantes de secundaria, aunque la compañía aparentemente tiene planes de expansión para una base de usuarios más grande y no especificada.
La lista de trabajos también decía que la compañía recibió más de $ 44 millones en fondos de personas como el fundador de Amazon, Jeff Bezos, así como la compañía Sound Ventures, cofundadora del actor y empresario Ashton Kutcher, entre otros:
Estamos comenzando en la escuela secundaria y ayudamos a decenas de miles de usuarios a administrar su tiempo y mantenerse mejor conectados con amigos. La mayoría de nuestros usuarios están activos diariamente. Hemos recaudado más de $44 millones en fondos de General Catalyst, Insight Partners, Coatue, Jeff Bezos, Marc Benioff, Dara Khosrowshahi, Dick Costolo y Adam Bain’s 01 Advisors, Elad Gil, Hadi Partovi, Ashton Kutcher’s Sound Ventures y otros importantes inversores de riesgo.
