Varios sitios populares de "camgirl" han expuesto a millones de trabajadoras sexuales y usuarios después de que la compañía que administra los sitios dejó la base de datos back-end desprotegida.
Los sitios, administrados por VTS Media con sede en Barcelona, incluyen amateur.tv, webcampornoxxx.nety placercams.com. La mayoría de los usuarios de los sitios se encuentran en España y Europa, pero encontramos evidencia de usuarios en todo el mundo, incluido Estados Unidos.
De acuerdo a Rankings de tráfico de Alexa, amateur.tv Es uno de los más populares en España.
La base de datos, que contenía meses de registros diarios de las actividades del sitio, se quedó sin contraseña durante semanas. Esos registros incluían registros detallados de cuándo los usuarios iniciaron sesión, incluidos los nombres de usuario y, a veces, sus agentes de usuario y direcciones IP, que pueden usarse para identificar a los usuarios. Los registros también incluían mensajes de chat privado de los usuarios con otros usuarios, así como correos electrónicos promocionales que recibían de varios sitios. Los registros incluso incluyeron intentos fallidos de inicio de sesión, almacenando nombres de usuario y contraseñas en texto sin formato. No probamos las credenciales ya que hacerlo sería ilegal.
Los datos expuestos también revelaron qué videos estaban viendo y alquilando los usuarios, exponiendo torceduras y preferencias sexuales privadas.
En total, los registros se detallaron lo suficiente como para ver qué usuarios estaban iniciando sesión, desde dónde y, a menudo, sus direcciones de correo electrónico u otra información identificable, que en algunos casos podríamos coincidir con identidades del mundo real.
No solo los usuarios se vieron afectados, las "camgirls", que transmitían contenido sexual a los espectadores, también tenían parte de la información de su cuenta expuesta.
La base de datos se cerró la semana pasada, lo que nos permitió publicar nuestros hallazgos.
El sitio "camgirl", que expuso los datos de la cuenta de millones de usuarios y trabajadores sexuales al no proteger una base de datos de back-end con una contraseña. (Imagen: TechCrunch)
Investigadores en condición: Black, una empresa de ciberseguridad y libertad de internet, descubrió la base de datos expuesta.
"Esta fue una falla grave desde una perspectiva técnica y de cumplimiento", dijo John Wethington, fundador de Condition: Black. "Después de revisar la política de privacidad de datos y los términos y condiciones de los sitios, está claro que los usuarios probablemente no tenían idea de que sus actividades estaban siendo monitoreadas a este nivel de detalle".
"Los usuarios siempre deben tener en cuenta las implicaciones de la fuga de datos, pero especialmente cuando las implicaciones podrían alterar la vida", dijo.
La exposición de datos, donde las empresas dejan inadvertidamente sus propios sistemas abiertos para que cualquiera pueda acceder, se han vuelto cada vez más comunes en los últimos años. Los sitios de citas se encuentran entre aquellos con algunos de los datos más confidenciales. A principios de este año, un sitio de citas grupales 3Fun expuso los datos de más de un millón de usuarios, lo que permite a los investigadores ver las ubicaciones en tiempo real de los usuarios sin permiso. Estos fallos de seguridad pueden ser extremadamente perjudiciales para sus usuarios, exponiendo encuentros sexuales privados y preferencias conocidas solo por los propios usuarios. Las consecuencias que siguen el truco de 2016 del sitio enfocado en asuntos Ashley Madison resultó en familias que se separaron y varios informes de suicidios conectado a la brecha.
Un correo electrónico a VTS Media rebotó durante el fin de semana y no se pudo contactar para hacer comentarios.
Dado que tanto la empresa como sus servidores están ubicados en Europa, la exposición de las preferencias sexuales caería dentro de las "categorías especiales" de las normas GDPR, que requieren más protecciones. Las empresas pueden recibir una multa de hasta el 4% de su facturación anual por infracciones de GDPR.
Un portavoz de la autoridad española de protección de datos (AEPD) no respondió a una solicitud de comentarios fuera del horario comercial.
¿Tienes una propina? Puede enviar consejos de forma segura a través de Signal y WhatsApp al +1 646-755-8849. También puede enviar un correo electrónico PGP con la huella digital: 4D0E 92F2 E36A EC51 DAAE 5D97 CB8C 15FA EB6C EEA5.