Home

>

Blog

>

Reports

>

Informe 2023: Visión general exhaustiva de la seguridad de las 100 mejores aplicaciones creadas en Bubble.io

Also available in :

by

Victor Nihoul

-

Apr 24, 2023

-

🇪🇸 Spanish

A medida que la industria tecnológica continúa creciendo y evolucionando, la seguridad y las regulaciones en torno a la privacidad de los datos se vuelven cada vez más importantes. Esto es especialmente cierto para las aplicaciones creadas en la plataforma sin código Bubble.io, que está ganando cada vez más popularidad. Sin embargo, el aumento en la popularidad también viene acompañado de un mayor riesgo de ciberataques. A pesar de la facilidad de uso, las aplicaciones de Bubble.io no siempre están bien seguras. Esto se debe a dos factores principales: la falta de información sobre las mejores prácticas y la falta de información pública sobre vulnerabilidades o filtraciones existentes y anteriores.Para abordar este problema, Flusk ha llevado a cabo un informe que analiza la seguridad de las 100 principales aplicaciones creadas en la plataforma Bubble.io. Nuestro objetivo principal en Flusk es mejorar la seguridad y confiabilidad del ecosistema Bubble. Hemos realizado más de 30 auditorías de seguridad a los actores principales en el espacio de Bubble, y lo que descubrimos es que el ecosistema necesita más educación y herramientas para hacerlo más seguro. Nuestra nueva herramienta, Flusk Vault, realiza auditorías de seguridad automatizadas en aplicaciones Bubble. Puedes registrarte ahora y probarlo siguiendo this link.‍

Al analizar la situación en 2022, este informe brinda una visión general de la seguridad en el ecosistema Bubble.io, abarcando las medidas de seguridad actualmente implementadas, las posibles vulnerabilidades y técnicas de remediación, y con la esperanza de fomentar un ecosistema seguro, cumplidor y centrado en la privacidad.

Este estudio independiente es llevado a cabo por un grupo de desarrolladores Bubble vigilantes y dedicados con un gran interés en la seguridad, y no está afiliado al equipo de Bubble.

Metodología del informe

Para este informe, seguimos una metodología que evaluó la seguridad de las 100 aplicaciones más populares construidas en Bubble.io en función de criterios de vulnerabilidad específicos.

Encontrando las 100 mejores aplicaciones creadas en Bubble.io

En primer lugar, recopilamos una lista de aplicaciones Bubble de diferentes fuentes:

  • Sitios web de búsqueda tecnológica, en concreto BuiltWith y Wappalyzer
  • Todas las aplicaciones construidas por agencias del directorio de agencias de Bubble.io
  • Todas las aplicaciones de la sección "Aplicación del día" en el foro de Bubble
  • Todos los enlaces que redirigen a una aplicación Bubble en el foro de Bubble entre 2018 y 2022
  • Otras fuentes menores, como los editores de complementos que compartieron las URL de instalación de sus complementos.

A continuación, se utilizó el siguiente método para clasificar las aplicaciones dentro de un Top 100:

  • Eliminación de todas las aplicaciones obsoletas, aplicaciones no-Bubble o aplicaciones creadas por Bubble mismo.
  • Sitios web de búsqueda de tecnología, específicamente BuiltWith y Wappalyzer
  • Todas las aplicaciones construidas por agencias del directorio de agencias de Bubble.io
  • Todas las aplicaciones de la sección "Aplicación del día" en el foro de Bubble
  • Para aplicaciones diseñadas para uso interno, analizamos métricas como el tamaño y el valor de la empresa.
    Por uso interno, nos referimos a aplicaciones destinadas a ser utilizadas solo por un grupo restringido de personas (como una empresa) sin posibilidad de comprar una membresía o acceso

Tras un análisis exhaustivo de 38 453 enlaces, pudimos identificar 2 640 aplicaciones elegibles para el informe.

→ Después de una clasificación adicional, nuestras 100 mejores aplicaciones consistieron en 87 aplicaciones destinadas a uso público y 13 exclusivamente para fines internos.

Puntos de vulnerabilidad considerados

Realizamos pruebas en la lista de las 100 mejores aplicaciones para analizar los puntos de seguridad mencionados a continuación:

  • Exposición de datos sensibles a través de filtraciones en la API de datos
  • Exposición de datos sensibles debido a reglas de privacidad mal configuradas y búsquedas/recuperaciones de datos en todas las páginas
  • Acceso no autorizado a páginas restringidas o no públicas (por ejemplo, paneles de administrador)
  • Manipulación de flujos de trabajo restringidos (por ejemplo, creación de usuarios como administradores, actividades relacionadas con operaciones sensibles en bases de datos, etc.)
  • Acceso no autorizado a servicios y API de terceros
  • Borrar datos en flujos de inicio de sesión
  • Vulnerabilidad de contraseñas temporales
  • Acceso no autorizado a puntos finales de API

The tests were conducted both manually and with the assistance of our internal audit tool for complex operations (e.g. URL parameter brute-forcing, XHR scrapping, etc.).

Advanced security exploits were deliberately omitted due to the complexity of performing them on such a large dataset (e.g. key-to-path, JSON parsing, cookie exploit, etc.). The report does not include minor vulnerabilities such as database leaks with less than 50 entries or minor compromised actions.

Una nota sobre ética

→ Todos los actores cuyas aplicaciones fueron incluidas en el informe fueron notificados de las vulnerabilidades antes de la publicación del informe. Les proporcionamos información precisa sobre las vulnerabilidades identificadas y les ofrecimos soporte gratuito para abordarlas.

→ No se descargaron ni almacenaron datos de la vulnerabilidad en sistemas locales, y nuestra herramienta para detectar datos sensibles utilizando Google Vertex AI solo se configuró para depender del análisis de claves, sin exponer sus valores.

→ No se tomaron acciones desde ningún sitio web a través de acceso comprometido ni acciones que pudieran haber estado restringidas; en su lugar, solo utilizamos el código fuente de la aplicación para clasificar la sensibilidad de las acciones desencadenadas por posibles disparadores de flujos de trabajo comprometidos.

Los Resultados

Los hallazgos del estudio fueron preocupantes, ya que el informe reveló que el 89 % de las 100 mejores aplicaciones tenían al menos una vulnerabilidad de seguridad.

El 89 % de las 100 mejores aplicaciones mostraron al menos una vulnerabilidad sensible de seguridad.

Fugas de datos sensibles

Los resultados más preocupantes se encontraron en relación a las fugas de datos sensibles.De las 100 mejores aplicaciones revisadas, al menos 76 de ellas presentaban vulnerabilidades.En total, pudimos identificar más de 2,300,000 piezas de información sensible y personal, incluyendo números de seguridad social estadounidenses, pasaportes, escaneos de tarjetas de identificación, registros de video de reuniones privadas, etc.

Parte de las aplicaciones con fugas de datos sensibles de las 100 mejores aplicaciones Bubble.io. Los datos que no se pudieron identificar como sensibles o seguros se denominan "Desconocidos".

Nos referimos a los datos sensibles como información sujeta a regulaciones legales (como el RGPD, el CPRA o la Ley de Protección de Datos de 1998), documentos privados internos o información privada sobre usuarios, como la dirección postal o el número de teléfono, excluyendo los correos electrónicos.

Acciones y acceso restringido comprometidos

El análisis de las 100 mejores aplicaciones reveló que 53 de ellas tenían vulnerabilidades de acceso restringido y 61 tenían acciones restringidas comprometidas.

Parte de las aplicaciones con acciones comprometidas de las 100 mejores aplicaciones Bubble.io. Las acciones que no se pudieron clasificar como sensibles o seguras se denominan "Desconocidas".

This screenshot shows an example of a compromised admin dashboard with sensitive actions on the public/live database.

Vulnerabilidades de terceros o APIs

De las 100 mejores aplicaciones revisadas, 18 de ellas exhibieron vulnerabilidades.

Parte de las aplicaciones con vulnerabilidades de terceros o APIs de las 100 mejores aplicaciones Bubble.io. Los servicios que no se pudieron clasificar como sensibles o seguros, o para los cuales no pudimos confirmar un acceso potencial, se denominan "Desconocidos".

Esta captura de pantalla muestra un ejemplo de un servicio de terceros comprometido con acceso completo de administrador a contenido y acciones sensibles.

Actores de desarrollo involucrados

De las 89 aplicaciones que exhibieron vulnerabilidades, pudimos identificar el origen del desarrollo de la aplicación para 75 de ellas.

  • Aproximadamente el 92 % de las aplicaciones creadas por emprendedores independientes o empresas tenían vulnerabilidades.
  • Aproximadamente el 65 % de las aplicaciones creadas por agencias Bubble tenían vulnerabilidades.
  • Aproximadamente el 82 % de las aplicaciones creadas por freelancers o desarrolladores independientes tenían vulnerabilidades.

Conclusión

Bubble.io es una plataforma segura que ha implementado fuertes medidas de protección para la seguridad de los datos. Sin embargo, su amplia disponibilidad y su interfaz de usuario intuitiva la hacen accesible a un público amplio que posiblemente no tenga una comprensión exhaustiva de la ciberseguridad ni un conocimiento actualizado de las regulaciones de privacidad de datos, lo que potencialmente conlleva riesgos para los usuarios finales. Este fenómeno parece estar aún más amplificado por la falta de información adecuada sobre las prácticas de seguridad y la falta de informes públicos sobre vulnerabilidades anteriores o existentes. También es necesario correlacionar esta observación con el crecimiento exponencial de las herramientas sin código, y más específicamente de Bubble. Cada vez se construyen más aplicaciones con Bubble.io, por lo que estadísticamente, cada vez más aplicaciones tienen vulnerabilidades de seguridad. Es necesario tomar medidas lo antes posible para mantener este ecosistema seguro y no perder credibilidad.

Curva de crecimiento del número de aplicaciones en funcionamiento en Bubble.io entre 2013 y 2022. Fuente: BuiltWith.

Por lo tanto, es urgente crear conciencia entre los diferentes actores, incluidos los empresarios individuales, los freelancers y las agencias.

Construcción de una aplicación Bubble segura.

Después de llevar a cabo más de 30 auditorías manuales para aplicaciones Bubble, nuestro equipo ha desarrollado una innovadora aplicación interna para acelerar el proceso. En consulta con los propietarios de agencias, quedó claro que una herramienta de seguridad de alto rendimiento podría mejorar sus procedimientos de aseguramiento de calidad y facilitar la entrega de aplicaciones seguras. En consecuencia, colaboramos con más de 15 agencias y más de 50 freelancers de Bubble para crear una solución automatizada que replica nuestros esfuerzos manuales. Recientemente presentamos Flusk Vault, una herramienta de vanguardia diseñada para ayudar a los desarrolladores de Bubble, agencias y propietarios de negocios a lanzar aplicaciones seguras, libres de violaciones de datos o puntos de acceso comprometidos.

Esta captura de pantalla muestra un ejemplo concreto de Flusk Vault en una aplicación de prueba.

Como has leído este estudio, nos gustaría agradecerte por preocuparte por temas tan importantes en el ecosistema de Bubble, ofreciéndote un descuento del 10% en tu primera licencia de Flusk Vault. Puedes registrarte siguiendo este enlace y usa el siguiente código durante la compra: “SECURITYSTUDY4800”.
Aquí tienes artículo rápido sobre cómo aplicar códigos de descuento.

También lanzamos un libro gratuito sobre la seguridad en Bubble que te enseñará cómo construir aplicaciones seguras. 80 páginas de ejemplos concretos, revisados por Bubble y 15 expertos desarrolladores de Bubble: 🔗 La Hoja de Trucos de Seguridad de Bubble 2023

Reseña por expertos en Burbujas

Hemos enviado este informe a expertos en Burbujas reconocidos para conocer su opinión sobre los resultados y cómo su trabajo puede mejorar la seguridad en Bubble.

Petter Amlie profile picture

Petter Amlie

Petter es un experto bien conocido y reconocido en el ecosistema de Bubble. Es el autor de La Guía Definitiva de Seguridad en Bubble y La Guía Definitiva de Rendimiento en Bubble. También está trabajando con Bubble en la documentación del producto.

¿Qué opinas sobre los resultados de este estudio?

“Son ciertamente preocupantes, pero no sorprenden. Bubble ofrece una sólida seguridad, pero todavía es bastante difícil configurar una aplicación que aborde todas las posibles vulnerabilidades, al menos en comparación con la facilidad de uso de otras partes de su plataforma. Es un desafío que la mayoría de las vulnerabilidades no se ignoran, pero los desarrolladores desconocen que existen. Hacer de eso una conversación de alta prioridad en la comunidad es importante.”

¿Qué crees que es la causa principal de este resultado?

“Creo que hay varias causas. Quizás en primer lugar, estoy de acuerdo en que Bubble atrae a una audiencia que no tiene experiencia en ciberseguridad, y eso se nota. Puede que tampoco tengan experiencia en diseño y lógica de flujo de trabajo, pero los resultados inmediatos de WYSIWYG los obligan a aprender. Las vulnerabilidades de seguridad son en su mayoría invisibles y muy difíciles de ser conscientes si no se les informa. En segundo lugar, la seguridad es una baja prioridad para muchas empresas: la mayoría cambia sus prácticas después de sufrir una violación de seguridad, por lo que no es exclusivo de Bubble. Es especialmente difícil de priorizar si estás construyendo una startup con la esperanza de llevarla rápidamente al mercado y aprender sobre seguridad parece un desafío insuperable. También es un ciclo negativo en el que muchos usuarios construyen su aplicación mientras están aprendiendo: y la seguridad a menudo es lo último que abordan. Dar la vuelta y realizar cambios en su aplicación después del hecho no es una tarea tentadora.”

¿Qué soluciones crees que serían efectivas para mejorar la seguridad del ecosistema de Bubble?

“La conciencia es obviamente lo primero. No creo que los grupos de hackers a gran escala estén tan conscientes de Bubble aún, pero seguramente se crearán redes de bots que explotarán vulnerabilidades conocidas y cuando eso suceda, miles de aplicaciones podrían quedar expuestas de una vez: y quién sabe cuántos datos de usuarios. La documentación de Bubble debe seguir mejorando y para que los nuevos usuarios de Bubble, así como los usuarios casuales, adopten buenas prácticas de seguridad, no es suficiente con recursos de terceros como libros y su plataforma de auditoría: Bubble debe trabajar para fortalecer la conciencia y ayudar a los desarrolladores a comprender las mejores prácticas desde temprano en el proceso de desarrollo del producto.”

¿Cómo contribuyes a la seguridad del ecosistema de Bubble?

“Mi contribución más evidente, supongo, es el libro y espero que el trabajo que estoy haciendo en el manual. La seguridad seguramente será una gran parte de ese trabajo, incluso si aún no hemos llegado a ese punto en el desarrollo del manual. Realizo sesiones de coaching y entrenamientos/bootcamps, pero el gran y significativo volumen de usuarios se alcanza a través de los libros, artículos y el manual.”

¿Crees que las soluciones de seguridad externas (nocode:nohack, ncScale, Flusk) tienen su lugar en el ecosistema? ¿Por qué?

“Definitivamente sí. La seguridad es un trabajo de estructura y repetición: controles y más controles. Digamos que un sistema como Flusk puede revelar el 80% de las posibles vulnerabilidades antes de cada implementación, obviamente eso es mucho mejor que el 0% y, lo que es más importante, ocurre cada vez. Incluso si hay un 20% de casos excepcionales que aún pasan desapercibidos, diría que sigue siendo una mejora importante. Estoy inventando estos números para ilustrar mi punto, pero sí: si el software puede reemplazar listas de verificación gestionadas por humanos, está garantizado que reducirá la tasa de errores humanos.”

Si tuvieras que dar 1 consejo de seguridad a todos los que aprenden Bubble, ¿cuál sería?

“Te daré dos: aprende las reglas de privacidad y aprende la diferencia entre el lado del cliente y el lado del servidor.”

Benoit De Montecler profile picture

Benoît de Montecler

Benoît es el co-fundador de ncScale, la primera herramienta para hacer que tu no-code sea confiable, seguro y mantenible.

¿Qué opinas sobre los resultados de este estudio?

“Estos resultados son preocupantes porque han empeorado en un año. El volumen de aplicaciones se ha más que duplicado y miles de nuevos usuarios de Bubble están llegando y pasando por alto la seguridad en sus primeras aplicaciones. Como cualquier nueva tecnología, estamos descubriendo sus debilidades poco a poco. Esto no me preocupa porque sigue lo que ocurrió con el código. Las aplicaciones basadas en código tienen igual cantidad de fallas, pero los desarrolladores están mejor preparados para supervisarlas en comparación con las aplicaciones sin código. Nuevas herramientas como Flusk o ncScale muestran que las cosas van en la dirección correcta.
Contrario a la creencia popular, los buenos no-coders son igual de raros que los buenos desarrolladores.
Ahora es esencial que las empresas dominen el no-code, ya que se ha convertido en una ventaja competitiva. Desarrollar 10 veces más rápido que un competidor no debería ser a expensas de la calidad, y esto es ahora posible gracias a estas nuevas herramientas.”

¿Cuál crees que es la causa principal de este resultado?

“Los recién llegados a Bubble utilizan esta herramienta como lo harían con cualquier otra plataforma SaaS que evita que los usuarios creen vulnerabilidades. Gracias a su enfoque permisivo, Bubble es muy poderoso en cuanto a personalización. Esto es lo que lo convierte en su principal activo y su principal debilidad.”

¿Qué soluciones crees que serían efectivas para mejorar la seguridad del ecosistema de Bubble?

“Bubble debería escanear aplicaciones y ser proactivo en cuanto a ciertas cosas obvias, como:
- Alertar cuando datos sensibles están públicos.
- Hacer privados elementos públicos innecesarios, como la lista de páginas, la estructura de la base de datos y la lista de APIs de terceros utilizadas.
- Destacando las herramientas de seguridad de Bubble, hay cada vez más de ellas, ¡lo cual es una buena señal! Comenzó con Tinkso luego ncScale y finalmente Flusk! Esto va en la dirección correcta, ¡y espero que vengan otras!”

¿Cómo contribuye ncScale a la seguridad y confiabilidad del ecosistema de Bubble y la industria sin código en general?

“Hemos reintegrado las funcionalidades de nuestro complemento de seguridad 'nocodenohack' en ncScale, y acabamos de lanzar alertas en los registros de Bubble. Esto nos permite monitorear comportamientos no autorizados en tiempo real, como el acceso no autorizado de un usuario a una página de administrador, detectar errores que bloquean a los usuarios o detectar un pico anormal en el uso de una funcionalidad.”

Si tuvieras que dar un consejo de seguridad a todos los que están aprendiendo Bubble, ¿cuál sería?

“Si hay una cosa que debes recordar para asegurar tu aplicación de Bubble, es que debes diseñar tu base de datos y configurar tus reglas de privacidad al mismo tiempo. Si no haces ambas cosas en paralelo, será difícil asegurarlo y el riesgo de error es muy alto."

Recursos

Las soluciones inmediatas incluyen recursos de actores conocidos, como:

Este informe se basó en un estudio realizado en diciembre de 2022 por Flusk.

Si desea utilizar o republicar el contenido de este artículo, por favor póngase en contacto con inquiries@flusk.eu para obtener permiso.

Related Posts

Droite au Coeur: El Desarrollo del Primer Escándalo de Seguridad de Bubble.io

Droite au Coeur: El Desarrollo del Primer Escándalo de Seguridad de Bubble.io

News

7 Aug

/

10 min read

NcScale se vuelve gratuito: Un vistazo más detallado a su nuevo modelo de precios

NcScale se vuelve gratuito: Un vistazo más detallado a su nuevo modelo de precios

News

11 Aug

/

2 min read

#BubbleCon2023: ¿Qué podemos esperar?

#BubbleCon2023: ¿Qué podemos esperar?

News

3 Aug

/

2 min read

User