- Cinco aplicaciones LGBT y kink expusieron imágenes sensibles de sus usuarios
- Las imágenes se almacenaron en un servidor sin protección de contraseña.
- El desarrollador de las aplicaciones dejó el problema sin solucionar durante meses.
Cinco aplicaciones de citas expusieron más de 1,5 millones de imágenes privadas y explícitas después de almacenarlas en depósitos de almacenamiento en la nube sin ninguna protección de contraseña.
Los investigadores de ciberseguridad descubrieron que los servidores de imágenes de BDSM People, Chica, Pink, Brish y Translove son altamente vulnerables a los piratas informáticos, lo que pone entre 800.000 y 900.000 personas en riesgo de chantaje y extorsión.
Los cinco sitios son todos del desarrollador MAD Mobile, a quien se le notificó sobre los servidores expuestos el 20 de enero, pero no solucionó el problema hasta el 28 de marzo, después de que los investigadores de ciberseguridad publicaran un informe sobre los servidores expuestos.
Imágenes explícitas expuestas
El investigador de Cybernews, Aras Nazarovas descubrió los servidores de imágenes privados expuestos mientras realizaba un análisis del código que impulsa la aplicación BDSM People.
"La primera imagen de la carpeta era de un hombre desnudo de unos treinta años. En cuanto la vi, me di cuenta de que esta carpeta no debería haber sido pública", declaró Nazarovas a la BBC.
En los servidores, Nazarovas encontró varios cientos de gigabytes de fotos, incluidas imágenes de perfiles, imágenes enviadas en mensajes directos, imágenes que supuestamente fueron eliminadas de la aplicación por los moderadores, fotos de publicaciones públicas, fotos de verificación de perfil y fotos incluidas en comentarios.
Si bien el problema ya se ha solucionado, no hay forma de saber cuánto tiempo estuvieron expuestos los servidores o si Nazarovas fue la única persona que descubrió el conjunto de imágenes explícitas.
Un portavoz de MAD Mobile declaró: "Agradecemos su trabajo y ya hemos tomado las medidas necesarias para solucionar el problema. En los próximos días, publicaremos una actualización adicional para las aplicaciones en la App Store".
Además del riesgo de extorsión que representan los depósitos de almacenamiento en la nube sin protección, los usuarios de las aplicaciones en países con actitudes hostiles hacia las personas LGBT también están en riesgo.
Las aplicaciones y sitios de citas son objetivos lucrativos para los hackers debido a la información personal altamente sensible que almacenan. Si sufren un ataque de ransomware, los atacantes no solo podrían extorsionar a la empresa, sino también amenazar a los usuarios con la exposición de sus datos si no pagan una tarifa.
