Saltar al contenido

Ahora sus datos se venderán en línea en 2016

05/11/2020

El sitio web beautifulpeople.com afirma ser un lugar de élite donde solo la «gente guapa» es bienvenida y la «gente fea» no. Los usuarios pueden votar quién se une al sitio y quién no en función de su apariencia. La votación varía de «absolutamente nada hermosa» a «hermosa» y promete «conexiones reales con gente hermosa en su área». Desde la filtración, la información privada de 1,2 millones de usuarios está a la venta en la «Dark Web». Estos datos incluyen direcciones de usuarios, correos electrónicos, altura, empleo, educación, ingresos y ubicaciones visitadas. Esto incluyó 15 millones de comunicaciones privadas entre usuarios que también se incluyen en la filtración.

Para ser completamente claro aquí, en realidad no hubo «pirateo» o «violación» como algunos podrían pensar. BeautifulPeople.com tenía una base de datos MongoDB abierta que se configuró para acceso público (sin contraseña) en diciembre de 2015.

Los datos no contienen ninguna tarjeta de crédito o información de facturación y las contraseñas parecen estar encriptadas. Los mensajes privados entre usuarios podrían usarse para extorsión tal como vimos con la filtración de Ashley Madison que provocó crímenes de odio en línea, estafas en línea y pueden estar relacionados con dos informes de suicidio no confirmados. También se informó que la base de datos incluía 170 perfiles de empleados del gobierno de los Estados Unidos que realmente usaban una dirección de correo electrónico .gov para su cuenta.

No se utilizaron contraseñas ni autenticaciones para proteger la base de datos y las consecuencias continúan a medida que los datos se venden a más y más grupos ilícitos que intentarán explotar la información de la cuenta.

Beautifulpeople.com tomó medidas para cerrar la vulnerabilidad y notificar a sus usuarios sobre la infracción. BeautifulPeople.com afirmó que los datos comprometidos provenían de un servidor de prueba, pero ¿por qué se guardarían tantos datos en un servidor de prueba? Esta es otra llamada de atención para que las empresas y los particulares estén atentos a las prácticas de protección de datos y las auditorías de seguridad periódicas.

*

Atención: algunas partes de este artículo se pueden utilizar para su publicación si se hace una referencia adecuada y se da crédito al investigador de seguridad de Tecnologar: Chris Vickery.