Millones de imágenes y videos de bebés vendidos en deep web

Debido a una base de datos de Elasticsearch sin protección, millones de videos e imágenes de bebés almacenadas por la app móvil Peekaboo Moments se encuentran a la venta en foros de hacking en la Deep Web. La base de datos no fue protegida adecuadamente por Bithouse Inc., compañía desarrolladora de la app. El reporte fue presentado por Dan Ehrlich, director de la firma de seguridad informática Twelve Security.

En su reporte, el investigador menciona que al momento del hallazgo, la base de datos de Peekaboo Moments contenía al menos 70 millones de archivos de registros (equivalentes a más de 100 GB de información). Esta información incluye un historial de actividad en la plataforma, como inicios de sesión, carga de datos, entre otros detalles.

Respecto a la información personal expuesta, el reporte de seguridad informática indica que se comprometieron detalles como:

• Nombres completos de los usuarios
• Dirección email
• Información sobre el dispositivo donde se instaló la app
• Enlaces a contenido de medios (fotos y videos) alojado en Alibaba Cloud

El investigador afirma que casi 900 mil direcciones email fueron expuestas durante el incidente.

La amenaza no termina ahí, pues la app también transmite datos sensibles que, en un escenario complejo, podrían afectar a los bebés. Peekaboo Moments tiene un rastreador de crecimiento, lo que permite a los usuarios conocer la estatura y el peso de sus bebés, además de que, en muchos casos, los registros incluyen su fecha de nacimiento. "Apenas tienen unos cuantos meses de edad y estos bebés ya sufrieron su primera brecha de datos", agrega Ehrlich.

A pesar de que sus desarrolladores afirman que Peekaboo Moments es un espacio seguro para resguardar fotos y videos de los bebés, el incidente demuestra que la compañía ha incurrido en errores básicos de seguridad informática, exponiendo los datos e información almacenada. En su perfil de Google Play Store, la compañía se jacta de almacenar el contenido de sus usuarios de forma segura: "Entendemos lo importantes que son estos momentos para nuestros usuarios. Su privacidad de datos es una de nuestras prioridades, por lo que sus fotos y videos serán almacenados en un espacio seguro, fuera del alcance de alguien ajeno a su familia o amigos".

Los investigadores aún no tienen claro por cuánto tiempo permaneció expuesta la base de datos, además se ignora si alguien accedió o logró extraer la información. Además, a pesar de los múltiples intentos, los investigadores no han logrado contactar a Jason Liu, CEO de Bithouse Inc. Asimismo, se han enviado múltiples correos electrónicos a la compañía, aparentemente establecida en China, esfuerzo que también ha resultado infructuoso.

Troy Hunt, experto en seguridad informática y fundador de la plataforma Have I Been Pwned, menciona que, a pesar de que esta clase de incidentes ocurren con frecuencia, el hecho de que esta base de datos almacenara información sobre los bebés de los usuarios podría exponer a los afectados a nuevas variantes de ataque valiéndose de la información y el contenido expuesto.

Otro de los riesgos en el uso de esta app está relacionado con una función para exportar contenido desde Facebook a Peekaboo Moments, lo que implica que las claves API de Peekaboo Moments para la red social también están expuestas. Esta información podría permitir a un atacante acceder al contenido de Facebook del usuario de la app de Peekaboo, asegura Ehrlich.

Fuente: DataBreach