El valor de una década de datos de usuarios privados ha sido expuesto por Rallyhood
Cuando Zack Whittaker de TechCrunch se puso en contacto con Rallyhood para hablar sobre un cubo S3 mal configurado que expuso una gran cantidad de datos de los usuarios, inicialmente se le dijo que la base de datos con fugas se usaba solo para fines de prueba y que la información real de las personas se mantenía 'en un cubo altamente asegurado. Más tarde, Chris Alderson, director de tecnología de Rallyhood, proporcionó una versión diferente de los eventos. Admitió que durante un proyecto de migración, 'los permisos se dejaron por error' en uno de los cubos de almacenamiento de la compañía durante 'un breve período'. Al momento de escribir, esta es la única información que Rallyhood ha compartido con el resto del mundo sobre el incidente, y hay que decir que esto no es ideal dada la cantidad y la naturaleza de los datos filtrados.
Otro día, otro cubo S3 con fugas expone los archivos de millones de usuarios
La fuga fue descubierta por un investigador de seguridad que prefiere ser conocido por su identificador de Twitter, Timeless. Timeless decidió usar la influencia de TechCrunch para garantizar que los datos estén protegidos lo más rápido posible, lo que, a la luz de los negocios de Rallyhood y su enorme base de usuarios, fue de hecho la tarea más urgente.
La popularidad del sitio web recibió un gran impulso cuando Yahoo anunció que está a punto de eliminar a los Grupos de Yahoo, y una multitud de personas trasladó sus discusiones a Rallyhood. Sin embargo, debemos señalar que Rallyhood es mucho más que un simple tablero de mensajes. También es una plataforma de colaboración utilizada por organizaciones de todas las formas y tamaños con el propósito de organizar y rastrear tareas y eventos. Esto significa que Rallyhood necesita procesar y almacenar muchos datos.
La compañía no dirá cuántos usuarios activos tiene la plataforma, y en este momento no es posible estimar el número exacto de personas afectadas por la fuga. Lo que sí sabemos es que el bucket S3 contenía una enorme cantidad de 4.1TB de datos y que, gracias a un error de configuración demasiado común, era de acceso público sin contraseña. Según Zack Whittaker, la URL también era "fácilmente adivinable", lo que hacía que la posibilidad de que alguien tuviera acceso a la información era aún más real.
Algunos de los datos expuestos son extremadamente sensibles.
Whittaker revisó algunos de los archivos y encontró detalles de contacto que le permitieron ponerse en contacto con los usuarios afectados y verificar la autenticidad de la filtración. Desafortunadamente, además de teléfonos y direcciones de correo electrónico, el cubo contenía mucha más información.
El reportero de TechCrunch encontró cualquier cosa, desde contratos y permisos hasta acuerdos de no divulgación y listas de contraseñas compartidas que definitivamente no se suponía que fueran accesibles al público. Como ya mencionamos, el CTO de Rallyhood trató de hacer algunas limitaciones de daños diciéndole a TechCrunch que la exposición no duró mucho, pero prefirió no decir cuán "breve" fue el "breve período". Lo que sí sabemos con certeza es que algunos de los archivos en la base de datos filtrada tenían una marca de tiempo de 2011. Desafortunadamente, a pesar del hecho de que había casi una década de archivos privados en la base de datos mal configurada, Rallyhood se negó a decirle a TechCrunch si la compañía tiene algún plan para informar a las personas potencialmente afectadas al respecto.
En general, hasta ahora, Rallyhood ha demostrado una clara falta de transparencia en su manejo de lo que sin duda es una fuga de datos bastante grave. La compañía claramente cometió un error, lo cual no es algo bueno, pero la impresión realmente mala proviene del hecho de que actúa como si no estuviera dispuesta a aceptar la responsabilidad.
