El equipo de investigación de vpnMentor descubrió una violación de datos que filtró imágenes increíblemente sensibles de numerosas aplicaciones de citas y conexiones de nicho.
Las aplicaciones fueron creadas para personas con estilos de vida alternativos y gustos particulares, como 'Cougars', citas extrañas, fetiches y sexo grupal. Al menos una aplicación estaba dedicada a personas con ITS, como el herpes.
Según la investigación compartida con Seguridad y Firewall, las aplicaciones comparten un desarrollador común. Como resultado, los medios de usuario de cada aplicación se habían almacenado en una sola cuenta de Amazon Web Services (AWS).
Además de exponer potencialmente a millones de usuarios de las aplicaciones al peligro, la violación también expuso toda la infraestructura de AWS de varias aplicaciones a través de credenciales de administrador y contraseñas no seguras.
Investigación:
Resumen de violación de datos
| Aplicaciones | 3somes, Cougary, Gay Daddy Bear, Xpal, BBW Dating, Casualx, SugarD, Herpes Dating |
| Sede central / ubicación | China y EE. UU. |
| Industria | Aplicaciones de citas |
| Tamaño total de datos en gigabytes | 845 GB |
| Cantidad total de archivos | 20,439,462 |
| No. de personas expuestas | Estimado para ser 100,000s |
| Ámbito geográfico | Estados Unidos y otros países |
| Tipos de datos expuestos | Fotos, incl. muchos de naturaleza gráfica y sexual; Capturas de pantalla de chats privados y transacciones financieras; Grabación de audio; Datos PII limitados |
| Impacto potencial | Fraude, engaño, chantaje, extorsión, ataque viral y piratería |
| Formato de almacenamiento de datos | Cucharón AWS S3 |
Descripción general de las aplicaciones afectadas
La cuenta de AWS mal configurada contenía datos pertenecientes a una amplia selección de aplicaciones de citas de nicho y fetiche.Estos incluyen:
En este caso, los archivos de cada aplicación se almacenaron en un contenedor AWS S3 mal configurado, en una sola cuenta compartida de AWS. Los cubos S3 llevan el nombre de la aplicación de citas desde la que se originaron. Inicialmente solo contactamos con uno, 3somes, para presentar nuestros hallazgos.
3somes respondió rápidamente, solicitando detalles adicionales sobre la violación. Respondimos proporcionando la URL de su bucket mal configurado y mencionamos que otros buckets propiedad de sus aparentes compañías hermanas también estaban abiertos (sin decir cuáles).
Si bien no recibimos ninguna comunicación adicional, el mismo día, todos los cubos que pertenecen a todas las demás aplicaciones también se aseguraron, lo que confirma nuestra suposición sobre el desarrollador común.
- Fecha de descubrimiento: 24 de mayo de 2020
- Fecha de contacto con 3somes: 26 de mayo de 2020
- Fecha de respuesta: 27 de mayo de 2020
- Fecha de acción: 27 de mayo de 2020
Impacto de Violación de Datos
Si bien los datos de las aplicaciones de citas y conexiones siempre son confidenciales y privados, los usuarios de las aplicaciones expuestas en esta violación de datos serían particularmente vulnerables a diversas formas de ataque, intimidación y extorsión.
Si bien las conexiones que realizan las personas en 'Sugar Daddy', las aplicaciones de citas sexuales, grupales y fetichistas son completamente legales y consensuadas, los piratas informáticos criminales o maliciosos podrían explotarlas contra los usuarios con un efecto devastador.
Utilizando las imágenes de varias aplicaciones, los hackers podrían crear perfiles falsos efectivos para esquemas de pesca, para defraudar y abusar de los usuarios desprevenidos.
Cualquier información PII expuesta crea riesgos mucho más significativos para los usuarios. Dada la naturaleza de muchas de estas aplicaciones, en algunos casos involucrando transacciones financieras, fetiches y ETS, hacer pública su presencia en la aplicación podría crear un inmenso estrés en su vida personal.
Conscientes de esto, los hackers podrían usar imágenes que contienen PII para encontrar usuarios en las redes sociales y amenazar con 'exponer' sus actividades en público, a amigos y familiares. Desafortunadamente, este tipo de chantaje y extorsión podría resultar increíblemente rentable.
Con tantos usuarios de cada aplicación expuestos en la violación de datos, los delincuentes solo tendrían que convencer a un pequeño número de personas para que les paguen por un plan de extorsión y chantaje.
Al hacerlo, podrían destruir las relaciones y la vida personal y profesional de muchas personas.
