El sitio de contenido para adultos Luscious expuso la información de sus 1,2 millones de usuarios, según informó la empresa de ciberseguridad vpnMentor. Los datos que quedaron comprometidos fueron los mails, nombres completos, género y país de residencia de los usuarios.
También se pudo acceder al registro de actividad de cada uno de ellos, lo cual incluye publicaciones en el blog, seguidores, cuentas seguidas, favoritos, comentarios y álbumes de imágenes.
Luscious es un sitio de nicho que se nutre principalmente del contenido que suben sus usuarios. Cada perfil puede subir contenido, compartir información y hacer sus comentarios. La falla de seguridad identificada comprometió la identidad de los usuarios.
Tal como se detalla en el informe, esta información sensible podría ser utilizada por hackers para hacer ataques de phishing, sextorsión o simplemente puede ser publicada online para exponer a los usuarios.
No se sabe si estos datos fueron utilizados hasta ahora para realizar algunos de estos ataques pero podrían ser empleados de este modo si cayeran en manos de ciberatacantes. El punto que reveló la investigación es que hubo una falla en la protección de la base de datos y esto implica un gran caudal de información privada de usuarios.
La mayor parte de los usuarios afectados son residentes de Francia, Holanda, Suecia y Alemania, entre otras regiones de Europa. Dentro de Latinoamérica solo figuran usuarios de Brasil.
Cómo se descubrió esta vulnerabilidad
El equipo de investigadores de vpnMentor halló esta falla de seguridad como parte de un proyecto de mapeo de la web. Los investigadores hicieron un escaneo de puertos para examinar determinadas IP y evaluar los agujeros de seguridad que pueden haber en los sistemas.
Cuando se encuentra una falla de seguridad, tal como ocurrió en este caso, los especialistas alertan a la compañía afectada para que corrijan el error. Según se explica en el blog de los investigadores, la base de datos estaba totalmente insegura y sin cifrar.
“La empresa usa una base de datos Elasticsearch, que no está diseñada para uso de URL. Sin embargo, pudimos acceder a ella por medio del browser y logramos alterar el criterio de búsqueda de URL para que expusiera los esquemas de un solo índice en cualquier momento”, se detalla en el artículo publicado.
Qué hacer
Los investigadores remarcan que esta brecha de seguridad se podría haber evitado si se hubieran tomado medidas básicas de precaución como: asegurar los servidores, implementar reglas de acceso adecuadas, y si no hubiesen dejado un sistema que no requiere autenticación abierto en la web.
Los usuarios, por su parte, deberían cambiar sus nombres de usuario, contraseñas y correos asociados. Además, siempre que se quiera resguardar la privacidad, lo ideal es evitar vincular el correo personal con el usuario creado. Lo ideal sería generar otro correo específicamente para esto.
Fuente: Infobae