PussyCash "deja en el aire" casi 900.000 archivos de sus usuarios y webcamers - Disyuntivo.com

PussyCash «deja en el aire» casi 900.000 archivos de sus usuarios y webcamers

vpnMentor descubrió un «fallo» en un Bucket S3 de Amazon con 875.000 archivos de PussyCash expuestos al público

El equipo de investigación de seguridad cibernética vpnMentor tal y como se puede ver en el artículo de su blog, dirigido por Noam Rotem y Ran Locar, ha descubierto una fuga de un Socket S3 con 19,95 GB de datos visibles en un servidor de Amazon con sede en Virginia, perteneciente a PussyCash y su red.

PussyCash es una red de afiliados de webcams eróticas que trabaja con la marca ImLive y otros sitios web similares orientados al nicho adulto. Esta fuga ha expuesto más de 875.000 archivos y tiene implicaciones de alto riesgo en la vida real para los implicados.

¿Qué es PussyCash.com?

El propietario de ImLive y PussyCash está oficialmente registrado como I.M.L. SLU, una compañía registrada en Andorra.

PussyCash alberga programas de afiliación para múltiples sitios para adultos, pagando a los webmasters por el tráfico enviado a los sitios a través de banners y tráfico de salida.

Se jactan de tener 66 millones de miembros registrados sólo en su chat de webcam, ImLive. Otros sitios incluyen Sexier.com, FetishGalaxy, Supermen.com, Shemale.com, CamsCreative.center, forgetvanilla.com, iDesires.com, Phonemates.com, SuperTrip.com, y Sex.Sex, entre otros.

Los socios listados en el sitio web de PussyCash incluyen a BeNaughty, Xtube y Pornhub.

Así es como lo cuenta el propio equipo de vpnMentor.

Cronología del descubrimiento y reacción del propietario

A veces, el alcance de una violación de los datos y el propietario de los mismos son obvios, y la cuestión se resuelve rápidamente. Pero rara vez ocurre en estos tiempos.

La mayoría de las veces, necesitamos días de investigación antes de entender lo que está en juego o quién está filtrando los datos.

Entender «una brecha» y lo que está en juego requiere una cuidadosa atención y tiempo. Trabajamos duro para publicar informes precisos y confiables, asegurándonos de que todos los que los lean entiendan su seriedad.

Algunas partes afectadas niegan los hechos, ignorando nuestra investigación o minimizando su impacto. Por lo tanto, tenemos que ser minuciosos y asegurarnos de que todo lo que encontramos es correcto y verdadero.

En este caso, el descubrimiento inicial nos llevó a creer que la fuga se limitó sólo a unos pocos registros en un cubo de ImLive.

Sin embargo, finalmente encontramos archivos que indican que PussyCash es en última instancia el propietario del socket del servicio de almacenamiento de Amazon (S3) que está «goteando».

  • Fecha de descubrimiento: 3 de enero de 2020
  • La compañía (PussyCash y ImLive) notificada: 4 de enero de 2020
  • Datos notificados a Amazon: 7 de enero de 2020
  • Fecha de respuesta de ImLive: 7 de enero de 2020
  • La compañía (PussyCash y ImLive) notificó con detalles: 9 de enero de 2020
  • Fecha de la acción: 9 de enero de 2020

PussyCash nunca respondió a ninguno de nuestros intentos de contactarlos en relación a la fuga de datos, incluyendo su Oficial de Protección de Datos. ImLive finalmente respondió a uno de nuestros correos electrónicos, declarando que se encargarían de ello y pasarían la información al equipo técnico de PussyCash.

Como PussyCash no contrata talentos a través de su sitio web principal, es plausible asumir que sus datos filtrados son de uno o más de sus otros sitios web, como ImLive.

Esta es una suposición que no podemos probar sin profundizar en la fuga de datos.

También vimos registros que mencionan específicamente a ImLive, por lo que hemos elegido usar eso como ejemplo para partes de este informe, y no necesariamente las otras marcas y sitios de PussyCash.

Datos de la base de datos expuesta

Hay por lo menos 875.000 claves, que representan diferentes tipos de archivos, incluyendo vídeos, materiales de marketing, fotografías, clips y capturas de pantalla de video-chats y archivos zip.

Dentro de cada carpeta zip – y aparentemente hay una carpeta zip por modelo – a menudo hay múltiples archivos adicionales (por ejemplo, fotografías y escaneos de documentos), y muchos elementos adicionales que elegimos no investigar.

Las carpetas incluidas podrían tener hasta 15-20 años de antigüedad, pero también son tan recientes como las últimas semanas. Incluso en el caso de los archivos más antiguos, dada la naturaleza de los datos, siguen siendo pertinentes y tienen el mismo impacto que los archivos recién añadidos.

Fotografías y escaneos de pasaportes completos y tarjetas de identificación nacional, incluso visibles:

  • Nombre completo
  • Fecha de nacimiento
  • Lugar de nacimiento
  • Estado de la ciudadanía
  • Nacionalidad
  • Número de pasaporte/documento de identidad
  • Fechas de emisión y caducidad del pasaporte
  • Género registrado a nivel nacional
  • Foto de identificación
  • Firma personal
  • Nombres completos de los padres
  • Huellas dactilares

¿Qué puede suponer todo esto?

Entre muchas otras cosas, estos puntos:

  • Robo de identidad
  • Estafas
  • Humillación pública e impacto en la vida personal/relaciones
  • Chantaje y extorsión
  • Acoso por los fans
  • Pérdida de trabajo y vergüenza profesional
  • Exposición de sus intimidades
  • Repercusiones jurídicas (según el país)
  • Incumplimiento de contrato
  • Los derechos humanos y la dignidad

Cómo y por qué descubrimos la brecha

El equipo de investigación de vpnMentor descubrió la brecha en la base de datos de Pussycash como parte de un enorme proyecto de mapeo web.

Nuestros investigadores utilizan el escaneo de puertos para examinar bloques IP particulares y probar los agujeros abiertos en los sistemas en busca de debilidades.

Examinan cada agujero para buscar datos que se filtren.

Cuando encuentran una brecha de datos, utilizan técnicas expertas para verificar la identidad de la base de datos. Entonces alertamos a la compañía de la brecha.

Si es posible, también alertamos a los afectados por la brecha.

Pudimos acceder al S3 de Pussycash porque estaba completamente desprotegido y no estaba encriptado. Usando un navegador web, el equipo pudo acceder a todos los archivos alojados en la base de datos.

El propósito de este proyecto de mapeo de la web es ayudar a hacer la Internet más segura para todos los usuarios. Como hackers éticos, estamos obligados a informar a una compañía cuando descubrimos fallas en su seguridad en línea.

Sin embargo, esta ética también significa que tenemos una responsabilidad con el público. Esto es especialmente cierto cuando la violación de datos de las empresas contiene una cantidad tan grande de información privada y sensible.

Raúl Finestras
Escrito por Raúl Finestras

Es sinónimo de tecnología, sabe cualquier cosa sobre ella y si no es así, no para hasta saberlo. Además, le encanta comprar "frikadas" en Amazon y hacer luego sus particulares reviews

Loading…

0
La seguridad mejorada de Tinder viene a costa de la privacidad | Disyuntivo.com
Tinder añade un «aviso de detección de acoso» entre otras funcionalidades nuevas
Coca-Cola: The Last Customer | El anuncio "que regaló" - Disyuntivo.com
Coca-Cola: The Last Customer | El anuncio «que regaló»