Desde hace algunos años las apps de citas se han vuelto una herramienta clave para que las personas encuentren compañía. A día de hoy hay decenas de ellas centradas en detalles sumamente específicos que atacan ciertos nichos para mayor claridad de sus posibles usuarios. Dentro de éstas, se comparte de todo, realmente de todo, y es que casi ningún usuario cree que sus fotos o charlas puedan salir algún día a la luz. Lamentablemente esto no siempre es así.
Recientemente los investigadores de seguridad Noam Rotem y Ran Locar publicaron un preocupante hallazgo, donde se encontraron con una base de datos de 845 GB con fotos sexualmente explícitas, chats con conversaciones íntimas y hasta datos de una gran cantidad de usuarios de apps de citas. Pero ojo, no se trata de ningún hackeo o algo muy elaborado. No. Los datos estaban en internet sin ninguna protección, a la vista de cualquier persona.
El problema de confiar (y publicar) nuestros datos a una app
Según explican, Rotem y Locar estuvieron escaneando la internet abierta el pasado 24 de mayo, cuando se encontraron con un 'bucket' S3 del servicio de almacenamiento de Amazon Web Services. Este 'bucket' estaba completamente abierto, sin contraseña ni ningún tipo de cifrado, y daba acceso a valiosos datos privados de usuarios de apps de citas.
De acuerdo a la información, aquí se incluían 845 GB de archivos y 2.5 de registros pertenecientes a usuarios de las siguientes apps: 3somes, Cougary, Gay Daddy Bear, Xpal, BBW Dating, Casualx, SugarD, Herpes Dating y GHunt.
Lo grave del asunto es que se trataba de información particularmente sensible, donde se incluían fotos, videos y clips de audio sexualmente explícitos, capturas de pantalla de chats privados, recibos de pagos, y hasta nombres, direcciones, fechas de nacimiento y correos electrónicos.
Es decir, material para que una persona pueda extorsionar a otra o bien, se den casos de doxing. Pero lo peor de todo es que los usuarios no pueden hacer nada, ni cambiar su contraseña, ya que los archivos están ahí y se desconoce si alguien más tuvo acceso a ellos.
Locar mencionó:
"Nos sorprendió el tamaño y la sensibilidad de los datos. El riesgo de doxing que existe con este tipo de cosas es muy real, como extorsión y abuso psicológico. Como usuario de una de estas aplicaciones no esperas que alguien de afuera de la aplicación pueda ver y descargar tus datos."
Rotem y Locar explican que tras analizar los detalles del 'bucket', se dieron cuenta que todo provenía de la misma fuente, que apuntaba al desarrollador "Cheng Du New Tech Zone". De hecho, todas las apps involucradas tienen el común denominador del diseño y las funciones.
El 26 de mayo, ya con los datos en mano, los investigadores contactaron a 3somes para informarles del hallazgo. Afirman que la respuesta fue breve y a las pocas horas el 'bucket' se había cerrado. Sin embargo, como mencionaba, no se sabe si alguien más tuvo acceso a estos datos y archivos antes que los investigadores.
Aquí hay que señalar que esto no se trata de un hackeo, sino de un descuido, un grave descuido por parte del desarrollador que expuso datos sumamente sensibles de sus usuarios, más cuando estamos hablando de apps de citas, y aún más cuando se tratan detalles privados y que muchas veces se buscan mantener así por decisión de la personas.
Por ejemplo tenemos el caso de Herpes Dating, donde las personas deben ser abiertas con su estado de salud y si tienen enfermedades venéreas, algo que ahora se expuso fuera de la app sin el consentimiento de sus usuarios.
En este caso la recomendación es la misma de siempre, no confiar, y antes de dar datos privados ponernos a pensar si queremos que alguien más almacene esos datos y sepa a quién pertenecen. Y es que cuando hablamos de internet, todo puede pasar y es mejor pecar de desconfiados.
Ver 2 comentarios