La información personal de más de un millón de usuarios del popular sitio web para adultos Luscious, incluidas las direcciones de correo electrónico que a veces indicaban nombres completos, se encontró expuesta en una base de datos de Elasticsearch no segura.
El sitio web, que se centra en contenido para adultos con temas de anime y subido por usuarios, tiene más de 1 millón de usuarios registrados. Los usuarios del sitio web tienen un perfil privado que les permite cargar, compartir y comentar sobre el contenido pornográfico del sitio web, mientras mantienen sus identidades ocultas detrás de los nombres de usuario.
Sin embargo, los investigadores pudieron acceder a los datos personales de 1.195 millones de cuentas de usuario, revelando sus nombres de usuario y direcciones de correo electrónico personales. Algunos investigadores dijeron que algunas direcciones de correo electrónico personales reflejaban los nombres completos de los usuarios del sitio web.
“La violación de datos le dio a nuestro equipo acceso a 1.195 millones de cuentas de usuario en Luscious. Todos estos fueron comprometidos, revelando detalles personales de los usuarios con consecuencias potencialmente devastadoras ”, dijeron los investigadores de vpnMentor en una publicación de esta semana. "La naturaleza altamente sensible y privada del contenido de Luscious hace que los usuarios sean increíblemente vulnerables a una variedad de ataques y explotación por parte de hackers maliciosos".
Los investigadores descubrieron los datos expuestos el 15 de agosto. Después de ser contactados el 16 de agosto, la base de datos fue protegida el lunes.
Además de las direcciones de correo electrónico, los investigadores también pudieron ver los registros de actividad de los usuarios, que mostraban fechas de ingreso y registros recientes, así como contenido, imágenes y videos subidos y publicaciones en blogs escritas. También podrían acceder al país de residencia y género para los usuarios afectados. Por ejemplo, los investigadores descubrieron 13,000 direcciones de correo electrónico en ".fr", que muestran que esos usuarios son de Francia.
De mayor preocupación fue el hecho de que los investigadores descubrieron docenas de cuentas de correo electrónico ".gov", lo que indica que los usuarios eran empleados oficiales del gobierno. Se trata de correos electrónicos vinculados a usuarios de Brasil, Australia, Italia y Malasia.
Los investigadores dijeron que no están seguros de si terceros accedieron a la base de datos expuesta. Sin embargo, si los piratas informáticos pudieran acceder a los datos del usuario, especialmente para algo tan sensible como un sitio web de citas para adultos, podría ser perjudicial para las relaciones y las vidas personales de las víctimas.
Si un mal actor tuviera en sus manos esta base de datos, los investigadores dijeron que podrían usarla de varias maneras dañinas, incluyendo doxing (investigar la identidad de un usuario de Internet y hacerla pública), extorsionar a los usuarios amenazando con exponerlos a menos que paguen rescate o phishing.
"El impacto de esta violación de datos en los usuarios podría ser devastador, personal y económicamente", dijeron. "La actividad en sitios para adultos como Luscious es la más privada por naturaleza, y nadie espera que se revele".
Impacto de violación de datos
El impacto de esta violación de datos en los usuarios podría ser devastador, personal y financieramente. La actividad en sitios para adultos como Luscious es la más privada, y nadie espera que se revele.
Su exposición podría ser ruinosa para las relaciones y la vida personal de la víctima.
La información disponible en las bases de datos de Luscious brinda a los piratas informáticos criminales y maliciosos muchas opciones para usar estos datos para obtener ganancias ilícitas y explotar a los usuarios.
Doxing
Doxing se refiere al acto de investigar la identidad de un usuario de Internet y hacerla pública, generalmente con intención maliciosa. Con acceso a las direcciones de correo electrónico y ubicaciones de los usuarios de Luscious, los ciberdelincuentes podrían localizar fácilmente sus perfiles en las redes sociales y sitios similares.
Con esta información, un usuario delicioso corre el riesgo de ser expuesto públicamente por su actividad en el sitio web. Podrían ser blanco de hostigamiento, acoso escolar o compartir los detalles con sus familiares, amigos y empleadores.
Dada la naturaleza del contenido en Luscious, los efectos de dicha campaña podrían ser devastadores.
Extorsión
Una vez que la identidad de un usuario delicioso se ve comprometida, puede ser objetivo de algo más que el acoso escolar. Los hackers podrían amenazar con exponer a los usuarios a menos que paguen un rescate. Dada la naturaleza sensible de esta violación de datos, las víctimas son increíblemente vulnerables y es probable que paguen.
Sin embargo, pagar un rescate no garantiza que sus datos no serán revelados de todos modos. Una vez que se roban estos datos, se pueden usar y vender una y otra vez. Esto deja a los usuarios abiertos a la extorsión continua de un hacker, con el potencial de que su actividad Luscious aún se filtre por otro.
Suplantación de identidad
La suplantación de identidad se refiere a la creación de correos electrónicos de imitación enviados a las víctimas para engañarlos y proporcionarles contraseñas u otra información comprometedora, darles acceso a cuentas financieras o tarjetas de crédito e incorporar malware en un dispositivo.
Un pirata informático o un cibercriminal envía un correo electrónico al objetivo para que parezca una empresa u organización legítima que la víctima ya utiliza, para extraer la información deseada o instalar malware.
Al revelar detalles personales como direcciones de correo electrónico y ubicación, la violación de datos de Luscious ayuda a los delincuentes a atacar a los usuarios para su explotación, fraude o robo en el futuro. Pueden usar esta información para crear correos electrónicos fraudulentos efectivos y enviarlos directamente a la bandeja de entrada de correo electrónico de un usuario; de esa manera, también se destacan del correo no deseado y basura.
Acciones de la competencia
Esta violación de datos también hace que Luscious sea vulnerable. Con más de 1 millón de usuarios y más de 20 millones de visitas por mes, es un sitio web líder dentro de su nicho. También es sin duda muy rentable.
Con la información privada ahora revelada, los competidores de Luscious también pueden analizar el comportamiento de los usuarios (sus favoritos, lo que les gusta, cómo interactúan con otros usuarios) y apuntarlos con mejores alternativas. Por lo general, las empresas en línea mantienen toda esta información oculta de forma segura, ya que presenta un gran riesgo para su modelo de negocio e ingresos.
Consejos de los expertos
Esta fuga de datos podría haberse evitado fácilmente si Luscious hubiera tomado algunas medidas de seguridad básicas. Estas pueden ser replicadas por cualquier compañía, sin importar su tamaño:
- Asegure sus servidores.
- Implementar reglas de acceso adecuadas.
- Nunca deje un sistema que no requiera autenticación abierta a Internet Para los usuarios
Le sugerimos que cambie de inmediato los detalles de su cuenta Luscious, incluido su nombre de usuario y dirección de correo electrónico asociada.
Para sitios web con temas para adultos, o cualquier otro sitio web de naturaleza sensible, siempre cree un nombre de usuario completamente ajeno a su dirección de correo electrónico personal o cualquier otra cuenta en línea.
Si ha revelado su ubicación en Luscious, elimine este detalle de su perfil. También puede cambiar su ubicación utilizando una VPN.
https://www.vpnmentor.com/blog/report-luscious-data-breach
%2014.04.55.png)
