Las filtraciones de datos han sido las grandes protagonistas de este año 2020. Titanes tecnológicos como WhatsApp o Nintendo han sido víctimas de estos problemas, a costa de la privacidad y seguridad de los usuarios. Ahora les toca el turno a varias apps de citas, que según una investigación de vpnMentor han sufido una brecha de seguridad que filtró cientos de miles de imágenes de sus usuarios.
El equipo dirigido por Ran Locar y Noam Rotem ha determinado que algunas de estas apps han sufrido una filtración masiva de fotos sensibles a través de apps de citas no convencionales. Es decir, apps pensadas para personas con extrañas filias.
La causa estaría en un desarollador común entre ellas, que ha sido el nexo del desastre. Concretamente, toda esta informacióne staba almacenada en una única cuenta alojada en los Amazon Web Services y que, ahora, ha expuesto de forma peligrosa a millones de usuarios así como toda la infraestructura de AWS de varias apps.
Filtración masiva de fotos íntimas
La cuenta de AWS que tenía el desarrollador común de todas estas apps estaba mal configurada; contenía datos pertenecientes a una amplia selección de apps de citas de nicho y especializadas en fetiches muy específicos. Algunas de las apps afectadas son GHunt, Casualx, PumaD o 3somes.
Los archivos de cada app se almacenaron en un contenedor de información AWS S3 mal configurado dentro de una sola cuenta compartida de AWS. Estos S3 llevan el nombre de la app de citas que originalmente dieron lugar a las imágenes, lo que determina su origen. vpnMentor contactó con algunas de las apps y la gran mayoría de estos 'buckets' se cerraron, lo que confirma el desarrollador común.
No solo se desvelaron imágenes; se filtraron mensajes de voz, grabaciones de audio, fotos de los usuarios, capturas de pantalla de chats, evidencias de transacciones financieras (con el consecuente peligro a nivel de privacidad bancaria que supone), etcétera. Los buckets no tenían información de identificación personal, pero las imágenes allí guardadas sí exponían datos como nombres, detalles personales, datos bancarios, etcétera.
Extorsión e intimidación
Esta filtración tiene un cariz importante, ya que su procedencia reside en apps especializadas en fetiches. Estos usuarios son especialmente vulnerables a formas de ataque muy específicas, como intimidación, extorsión y chantaje debido a sus filias. Las apps de citas que hemos mencionado (solo algunas de una larga lista) son absolutamente legales, y las relaciones que allí tienen consensuadas y legales.
No obstante, el carácter especialmente privado de los datos filtrados podría servir para explotar a los usuarios pidiéndoles recompensas o chantajes para evitar que esta información saliera a la luz. Los hackers podrían crear además perfiles falsos para esquemas de captación de usuarios para abusar o estafar a otros. Otra opción serían las amenazas que enarbolarían los datos personales en las imágenes como arma.
Lo peor es que este descubrimiento fue casi fortuito. vpnMentor llevó a cabo una investigación como parte de un proyecto de mapeo de web; los investigadores usaron el escaneo de puertos para examinar bloques de IP particulares y probar sistemas para detectar vulnerabilidades. Fue entonces cuando se descubrió el acceso libre a los buckets de AWS.