Rallyhood dice que es "privado y seguro". Pero por algún tiempo, no lo fue.
La red social diseñada para ayudar a los grupos a comunicarse y coordinar dejó uno de sus cubos de almacenamiento en la nube que contiene datos de usuario abiertos y expuestos. El bucket, alojado en Amazon Web Services (AWS), no estaba protegido con una contraseña, lo que permitía a cualquiera que conociera el acceso fácil a la dirección web a una década de archivos de usuario.
Rallyhood cuenta con usuarios de las tropas de Girl Scouts y Boy Scouts, y de las facciones Komen, Habitat for Humanities y YMCA. La compañía también alberga miles de grupos más pequeños, como bandas locales, equipos deportivos, clubes de arte y comités organizadores. Muchos acudieron al sitio luego de que Rallyhood dijera que ayudaría a migrar usuarios de Yahoo Groups, luego de que Verizon (que también es propietaria de TechCrunch) dijo que cerraría el sitio del foro de discusión el año pasado.
El paquete contenía datos de grupo desde 2011 hasta el mes pasado. En total, el depósito contenía 4,1 terabytes de archivos cargados, que representan millones de archivos de usuarios.
Algunos de los archivos que revisamos contenían datos confidenciales, como listas de contraseñas compartidas y contratos u otros permisos y acuerdos. Los documentos también incluían acuerdos de confidencialidad y otros archivos que no estaban destinados a ser públicos.
Donde pudimos identificar la información de contacto de los usuarios cuya información fue expuesta, TechCrunch contactó para verificar la autenticidad de los datos.
Un investigador de seguridad que maneja Eterno Encontró el depósito expuesto e informó a TechCrunch, de modo que el depósito y sus archivos pudieran asegurarse.
Cuando se llegó, el director de tecnología de Rallyhood, Chris Alderson, afirmó inicialmente que el depósito era para "pruebas" y que todos los datos de los usuarios se almacenaban "en un depósito altamente seguro", pero luego admitió que durante un proyecto de migración, "hubo un breve período cuando los permisos se dejaron abierta por error ".
No se sabe si Rallyhood planea advertir a sus usuarios y clientes del lapso de seguridad. Al momento de escribir este artículo, Rallyhood no ha hecho ninguna declaración en su sitio web ni en ninguno de sus perfiles de redes sociales sobre el incidente.