(Imagen: foto de archivo)
Se han encontrado en línea datos personales de más de 1,5 millones de usuarios de una red de sitios de citas que anima a sus miembros a “tener una aventura” y “tener una aventura”.
La base de datos, administrada por C&Z Tech Limited, una empresa de citas con sede en Nueva Zelanda que administra varios sitios web y aplicaciones móviles, como HaveAFling.mobi, HaveAnAffair.mobi y HookUpDating.mobi, se encontró expuesta en Internet abierta y sin una contraseña.
Esos datos incluyen nombres de usuario y direcciones de correo electrónico, contraseñas (almacenadas en texto sin formato), sexo, fechas de nacimiento, fotos de perfil y el país de residencia. Y otra información personal como tipo de cuerpo, altura y peso (si un usuario decide ingresarlos), deseos, intereses, raza, lo que le excita, el tipo de persona con la que el usuario busca interactuar y si el usuario fuma y bebe. .
Muchos de los registros también incluían breves biografías.
“No salgo mucho”, dijo un disco. “Estoy en una relación pero necesito a alguien más”, dijo otro. Un tercero no pierde el tiempo: “Solo busco joder”. Muchos de los registros que vimos incluyen nombres de usuario de WhatsApp o Snapchat; al menos dos que encontramos tenían números de teléfono publicados.
La compañía se apresuró a proteger los datos después de que el Centro de Investigación de Seguridad MacKeeper la alertara sobre la filtración, pero la forma en que reaccionó fue nada menos que deshonesta y despreciable.
“Si bien reconocemos la violación de datos, sólo un pequeño número de usuarios se vieron afectados”, dijo Anton, un empleado del sitio de citas, que no proporcionó su apellido en su correo electrónico.
“La filtración de datos provino de una de nuestras bases de datos de prueba, la mayoría de los datos eran datos ficticios y se generaron aleatoriamente, y la vulnerabilidad se solucionó de inmediato”, añadió.
Dijo que se han restablecido las contraseñas para el “pequeño número” de afectados y dijo que serán notificados.
Sin embargo, según nuestro análisis de la base de datos de muestra que obtuvo para verificar su autenticidad, no tenemos motivos para creer que se trate de datos de prueba o ficticios. Un minucioso análisis cuenta por cuenta de una selección aleatoria de más de 300 registros sugirió que se trataba de datos de usuarios en vivo.
Comenzamos a llegar a los usuarios. Muchos no respondieron, pero algunos sí, cuyos nombres no publicaremos. Y no estaban contentos.
En total, cinco personas confirmaron que los datos que les proporcionamos estaban asociados a sus cuentas, pero no todos recordaban exactamente cuándo se dieron de alta en el servicio. (Uno dijo que se registraron a través de una aplicación de iPhone en mayo).
“Recuerdo que me registré en algo así pensando que era similar a Tinder, pero rápidamente me di cuenta de que en realidad no es lo mismo. Pensé que había desactivado mi cuenta. Es muy alarmante para mí que almacenaran esas cosas en una base de datos no segura sin contraseña”. ” dijo un usuario.
El usuario envió un correo electrónico más tarde para decir que pudo iniciar sesión en su cuenta desactivada.
Dijo que era “un poco inquietante” que la empresa conservara sus datos y que “tú o cualquier otra persona pudiera obtener mi información si mi cuenta ya estaba desactivada”.
Otros tres confirmaron sus correos electrónicos y contraseñas, pero no dijeron nada más.
Otro simplemente envió un “aviso de seguridad” de la empresa, que exige a los usuarios cambiar sus contraseñas, pero no dijo por qué.
“Estamos actualizando nuestro sistema por razones de seguridad, por lo tanto, debe cambiar su contraseña lo antes posible”, decía el correo electrónico. El correo electrónico decía que los usuarios deben iniciar sesión en el sitio primero y cambiar sus contraseñas, a diferencia de emitir un restablecimiento de contraseña obligatorio en todo el sitio como lo harán otros sitios y servicios si su servicio es violado (e incluso en los casos en que otros sitios son afectados). Si la base de datos se viera comprometida por un actor malintencionado, no requeriría ningún esfuerzo de su parte para hacerse cargo de su cuenta simplemente iniciando sesión como ese usuario.
Cuando se le preguntó sobre estas discrepancias, Anton no respondió a un correo electrónico de seguimiento.
No todos en el sitio estaban allí para buscar una aventura o una aventura, pero este incidente difícilmente inspira confianza en la escena de las citas en línea, particularmente teniendo en cuenta el dañino asunto de Ashley Madison (sin juego de palabras), que avergonzó a miles y separó familias. . Incluso si los datos permanecieron en línea durante unas horas, una filtración es una filtración. Si los investigadores de seguridad pueden encontrarlo, no se sabe quién más podrá hacerlo.
No hace falta decirlo: cambie sus contraseñas. Y no utilice sitios de citas de baja calidad que no se preocupen por su privacidad.