Fallo en sitio porno expuso datos de más de 1,2m perfiles de usuarios
Una brecha de seguridad en el sitio para adultos Luscious hizo que se expusieran, según un informe de VPNmentor, los datos de la totalidad de los usuarios de la página. Tras descubrir este comportamiento el pasado día 15 aseguran que, actualmente, la vulnerabilidad ha sido solventada.
La entrada a la base de datos de Luscious dio acceso a las 1.195 millones de cuentas registradas en la página web, en la que se hace necesario el registro para subir el contenido que la alimenta.
uentan desde VPNmentor que han sido capaces de acceder a los datos de los usuarios registrados en la página web, incluidos sus nombres de usuario, dirección de correo, registros de actividad, ubicación y género. Sobre el total de cuentas a las que tuvieron acceso, estiman un 20% de direcciones falsas, correspondientes a usuarios que buscan métodos para conservar mejor su anonimato.
La base de datos de Luscious no contaba con ningún tipo de cifrado, lo que permitió acceder a los perfiles de los usuarios sin ningún tipo de problema
El equipo descubrió la brecha de seguridad mientras trabajaba en un proyecto de mapeo en la web, en búsqueda de agujeros abiertos en bloques IP particulares. El principal objetivo de dicho equipo es alertar a las páginas web de los agujeros de seguridad que encuentran, para alentar una pronta actuación. Según cuentan, la base de datos de Luscious no contaba con ningún tipo de cifrado, lo que la hacía completamente insegura.
Acceder a los datos de las cuentas permitió a VPNmentor obtener información sobre los comentarios, publicaciones, favoritos, seguidores, número de identificación y todo dato referente a las mismas, estando gran parte de esta información oculta en la base de datos de la pagina web.
Si bien los casos de sitios web que se ven comprometidos suelen ser relativamente habituales, que se acceda a la totalidad de cuentas registradas de un sitio web no lo es tanto. A nivel geográfico, las cuentas a las que se tuvo acceso se distribuían entre Europa, Asia, Australia y América. Teniendo en cuenta las direcciones de correo, la estimación de usuarios españoles que hace VPNmentor es de 7.000 usuarios.
Más allá de usuarios con dominios típicos, se registraron perfiles de usuario con cuentas gubernamentales y educativas
Más allá de las direcciones de correo más usadas, el informe indica el uso de cuentas gubernamentales para registrarse en Luscious, indicando que menos de 1.000 cuentas se registraron con el dominio .edu (utilizado por instituciones educativas u oficinas gubernamentales con relación) y que "docenas" de cuentas se registraron bajo el dominio .gov (utilizado por el Gobierno de los Estados Unidos).
Vía: Genbeta | VPNmentor
La entrada a la base de datos de Luscious dio acceso a las 1.195 millones de cuentas registradas en la página web, en la que se hace necesario el registro para subir el contenido que la alimenta.
uentan desde VPNmentor que han sido capaces de acceder a los datos de los usuarios registrados en la página web, incluidos sus nombres de usuario, dirección de correo, registros de actividad, ubicación y género. Sobre el total de cuentas a las que tuvieron acceso, estiman un 20% de direcciones falsas, correspondientes a usuarios que buscan métodos para conservar mejor su anonimato.
La base de datos de Luscious no contaba con ningún tipo de cifrado, lo que permitió acceder a los perfiles de los usuarios sin ningún tipo de problema
El equipo descubrió la brecha de seguridad mientras trabajaba en un proyecto de mapeo en la web, en búsqueda de agujeros abiertos en bloques IP particulares. El principal objetivo de dicho equipo es alertar a las páginas web de los agujeros de seguridad que encuentran, para alentar una pronta actuación. Según cuentan, la base de datos de Luscious no contaba con ningún tipo de cifrado, lo que la hacía completamente insegura.
Acceder a los datos de las cuentas permitió a VPNmentor obtener información sobre los comentarios, publicaciones, favoritos, seguidores, número de identificación y todo dato referente a las mismas, estando gran parte de esta información oculta en la base de datos de la pagina web.
Los principales afectados
Más allá de usuarios con dominios típicos, se registraron perfiles de usuario con cuentas gubernamentales y educativas
Más allá de las direcciones de correo más usadas, el informe indica el uso de cuentas gubernamentales para registrarse en Luscious, indicando que menos de 1.000 cuentas se registraron con el dominio .edu (utilizado por instituciones educativas u oficinas gubernamentales con relación) y que "docenas" de cuentas se registraron bajo el dominio .gov (utilizado por el Gobierno de los Estados Unidos).
Vía: Genbeta | VPNmentor
0 Comments:
Publicar un comentario
Gracias por dejar un comentario en Segu-Info.
Gracias por comentar!