Las aplicaciones de citas no vuelven a proteger a sus clientes: 6 aplicaciones pierden millones de registros
Una de las cosas que más nos gusta de Internet es el hecho de que podemos encontrar tanta información sobre él. Curiosamente, una de las cosas que más odiamos de Internet es también el hecho de que podemos encontrar tanta información al respecto. Los investigadores de seguridad de WizCase, por ejemplo, descubrieron recientemente que si supieran dónde buscar, los usuarios de seis aplicaciones de citas podrían encontrar sus datos personales expuestos en bases de datos que no estaban protegidas con una contraseña y eran accesibles desde cualquier parte del mundo.
Table of Contents
Cinco bases de datos mal protegidas filtran millones de registros llenos de información personal
Los expertos descubrieron tres instalaciones de ElasticSearch, un Amazon S3 Bucket y una base de datos MongoDB expuesta a Internet y accesible sin ningún tipo de autenticación. Dos de los proveedores tienen su sede en los EE. UU., Dos se encuentran en Corea del Sur y uno opera en Japón, y todos ejecutan sitios web y aplicaciones de citas. Aquí están los nombres de los servicios y los datos que filtraron:
- CatholicSingles.com
- SPYKX.com
- Tiki
- Borroso
- Charin y Kyuun
El cubo S3 pesaba solo 17 MB y tenía unos 50 mil registros algo modestos. La mayoría de los perfiles parecen estar prohibidos, pero la última actividad registrada es reciente, lo que demuestra que los datos filtrados probablemente sean válidos. Incluye cosas como nombres, direcciones de correo electrónico, números de teléfono, edad, sexo, ocupación, direcciones de facturación, métodos de pago, etc.
SPYKX.com es un proveedor surcoreano que desarrolla y ejecuta varios servicios diferentes. Una de ellas es una aplicación de citas llamada Condaq / Kongdak, y por alguna razón, el desarrollador decidió que sería una buena idea poner algunos de los datos de usuario de la aplicación en un servidor ElasticSearch desprotegido. Alrededor de 123 mil registros expusieron 600MB de datos personales, incluidas direcciones de correo electrónico, contraseñas de texto sin formato, fechas de nacimiento e incluso datos de GPS.
Tiki es, supuestamente, "un nuevo tipo de aplicación de citas", y de acuerdo con su sitio web, el usuario tiene control sobre el tipo de información personal que pueden ver las posibles fechas. Esta afirmación es especialmente irónica dado el hecho de que el desarrollador de Tiki puso parte de dicha información en una base de datos MongoDB que era accesible con un simple navegador. Se expusieron un poco más de 4 mil registros, e incluyeron desde calificaciones de usuarios y registros de actividad hasta nombres, números de teléfono, lugares de citas, etc.
Blurry es una aplicación de citas de Corea del Sur que permite a los usuarios desenfocar la pantalla durante las videollamadas. Supuestamente está dirigido a usuarios que son demasiado tímidos para interactuar o no tienen mucha confianza en su apariencia, y solo puede imaginar cómo se sentirán estas personas cuando se enteren de que algunas de sus conversaciones privadas fueron expuestas por un servidor ElasticSearch mal configurado. Los 70 mil registros no contenían detalles personales, pero los mensajes filtrados estaban llenos de números de WhatsApp, identificadores de Instagram y otra información que podría exponer a la víctima a todo tipo de ataques.
Otra base de datos ElasticSearch mal configurada pertenece a los desarrolladores de Charin y Kyuun, dos aplicaciones japonesas que parecen ser administradas por la misma compañía. Fue, con mucho, la mayor filtración, con 57 GB de datos expuestos y un poco más de 100 millones de registros abiertos al público. De manera preocupante, además de las ID de usuario, la información del dispositivo móvil y las preferencias de búsqueda, la base de datos contenía direcciones de correo electrónico y contraseñas en texto plano.
Ya era una filtración bastante importante, pero la investigación de WizCase no se detuvo allí.
Los expertos no pudieron identificar a los propietarios de otras seis bases de datos desprotegidas
Los investigadores descubrieron otras seis bases de datos no seguras llenas de datos. Una vez más, los usuarios de los servicios de citas se vieron afectados, pero esta vez, parecía que los desarrolladores no eran responsables de la filtración.
Los expertos lograron vincular los datos a varias aplicaciones: Zhenai, Say Love, Netease, Love Chat y Companion. Sin embargo, dijeron que las bases de datos no contenían ninguna información de identificación personal y que probablemente eran el resultado del raspado de la web. También afirman que los ciberdelincuentes pueden usar la información que contienen para identificar otros perfiles disponibles públicamente y, potencialmente, obtener acceso a datos más confidenciales.
¿Qué deben tener en cuenta los usuarios?
Nunca es divertido ver a las aplicaciones de citas filtrando datos de los usuarios. Aunque los servicios de los que hablamos hoy no son tan específicos como los que discutimos hace unas semanas, las personas afectadas podrían no estar interesadas en todo el mundo sabiendo que las están utilizando.
Desafortunadamente, dado que hay tantas aplicaciones involucradas, no tenemos forma de saber cuántas personas se ven afectadas por las filtraciones. Sin embargo, lo que sí sabemos es que si ha utilizado alguno de los servicios mencionados en este artículo, debe ser mucho más cuidadoso de lo habitual. Los datos en algunas de las bases de datos pueden proporcionar a los cibercriminales todo lo que necesitan para hacerse pasar por usted y robar su identidad en línea. Además, pueden usarlo para encontrar más información sobre usted y montar ataques adicionales.
Los intentos de chantaje basados en el hecho de que está utilizando una aplicación de citas no están fuera de discusión en algunos casos, y las contraseñas de texto sin formato expuestas se usarán casi con seguridad en ataques de relleno de credenciales.
