Miles de personas Blind de confianza, una "red social anónima" basada en aplicaciones, como una forma segura de revelar actos ilícitos, irregularidades y conductas impropias en sus empresas.
Pero Blind dejó expuesto uno de sus servidores de base de datos sin una contraseña, lo que hace posible que cualquiera que supiera dónde buscar para acceder a la información de la cuenta de cada usuario e identifique posibles denunciantes.
La compañía fundada en Corea del Sur se abrió camino en los EE. UU. En 2015, cuando rápidamente se convirtió en una red social anónima muy popular para las principales empresas de tecnología, promocionando empleados de Apple, Facebook, Google, Microsoft, Twitter, Uber y más. El mes pasado, Blind obtuvo otros $ 10 millones en fondos nuevos después de un aumento de $ 6 millones en 2017. Pero fue solo cuando la red social se convirtió en la raíz de varios escándalos de alto perfil cuando Blind ganó la atención general, incluida la revelación de acusaciones de acoso sexual en Uber, que Más tarde bloqueó la aplicación en su red corporativa.
El servidor expuesto fue encontrado por un investigador de seguridad, que se conoce con el nombre de Mossab H, quien informó a la compañía del lapso de seguridad. El investigador de seguridad encontró uno de los tableros de Kibana de la compañía para su base de datos ElasticSearch de fondo, que contenía varias tablas, incluidos datos de mensajería privada y contenido web, tanto para sus sitios de Estados Unidos como de Corea. Blind dijo que la exposición solo afecta a los usuarios que se registraron o iniciaron sesión entre el 1 de noviembre y el 19 de diciembre, y que la exposición se relaciona con "un solo servidor, uno entre muchos servidores en nuestra plataforma", según el ejecutivo de Blind, Kyum Kim, en un correo electrónico. .
Blind solo retiró la base de datos después de que TechCrunch siguiera por correo electrónico una semana después. La compañía comenzó a enviar correos electrónicos a sus usuarios el jueves después de que solicitáramos un comentario.
"Al desarrollar una herramienta interna para mejorar nuestro servicio para nuestros usuarios, nos dimos cuenta de un error que exponía los datos de los usuarios", dijo el correo electrónico a los usuarios afectados.
Kim dijo que "no hay evidencia" de que la base de datos haya sido mal utilizada o mal utilizada, pero no dijo cómo llegó a esa conclusión. Cuando se le preguntó, la compañía no diría si notificará a los reguladores estatales de los Estados Unidos sobre el incumplimiento.
El director ejecutivo de Blind, Sunguk Moon, quien fue copiado en muchos de los correos electrónicos con TechCrunch, no comentó ni reconoció la exposición.
En su esencia, la aplicación y la red social anónima les permite a los usuarios registrarse usando su dirección de correo electrónico corporativa, que se dice que está vinculada solo a la identificación de miembro de Blind. Las direcciones de correo electrónico se "utilizan solo para verificación" para permitir a los usuarios hablar con otras personas anónimas en su empresa, y la compañía afirma que las direcciones de correo electrónico no están almacenadas en sus servidores.
Pero después de revisar una parte de los datos expuestos, algunas de las afirmaciones de la compañía no se sostienen.
Descubrimos que la base de datos proporcionaba un flujo en tiempo real de inicios de sesión de usuarios, publicaciones de usuarios, comentarios y otras interacciones, lo que permite a cualquier persona leer comentarios privados y publicaciones. La base de datos también reveló los mensajes privados sin cifrar entre los miembros, pero no sus direcciones de correo electrónico asociadas. (Dada la gran sensibilidad de los datos y la privacidad de los usuarios afectados, no publicamos datos, capturas de pantalla ni datos específicos del contenido del usuario).
Blind afirma en su sitio web que su verificación de correo electrónico "es segura, ya que nuestra infraestructura patentada está configurada para que toda la información de la cuenta y la actividad del usuario se desconecte por completo del proceso de verificación de correo electrónico". Añade: "Esto significa efectivamente que no hay forma de rastree su actividad en Blind a una dirección de correo electrónico, porque incluso nosotros no podemos hacerlo ". Blind afirma que la base de datos" no muestra ninguna asignación de direcciones de correo electrónico a apodos ", pero encontramos flujos de direcciones de correo electrónico asociadas con miembros que Aún no se ha publicado. En nuestra breve revisión, no encontramos ningún contenido, como comentarios o mensajes, vinculado a direcciones de correo electrónico, solo una identificación de miembro única, que podría identificar a un usuario que publique en el futuro.
Sin embargo, muchos registros contenían direcciones de correo electrónico de texto simple. Cuando otros registros no almacenaban una dirección de correo electrónico, el registro contenía el correo electrónico del usuario como un hash cifrado no reconocido, que puede ser descifrable para los empleados de Blind, pero no para nadie más.
La base de datos también contenía contraseñas, que estaban almacenadas como un hash MD5, un algoritmo obsoleto que hoy en día es fácil de descifrar. Muchas de las contraseñas se descifraron rápidamente utilizando herramientas disponibles cuando intentamos. Kim negó esto. "No utilizamos MD5 para nuestras contraseñas para almacenarlas", dijo. “Las claves MD5 eran un registro y no representan cómo administramos los datos. Usamos métodos más avanzados como el hash salado y SHA2 para proteger los datos de los usuarios en nuestra base de datos. ”(Iniciar sesión con una dirección de correo electrónico y una contraseña no codificada sería ilegal, por lo tanto no podemos verificar esta reclamación). Eso puede suponer un riesgo para los empleados que use la misma contraseña en la aplicación al iniciar sesión en sus cuentas corporativas.
A pesar de los esfuerzos aparentes de la compañía para desasociar las direcciones de correo electrónico de su plataforma, los registros de inicio de sesión en la base de datos también almacenaban tokens de acceso a cuentas de usuario, el mismo tipo de tokens que recientemente pusieron en riesgo las cuentas de Microsoft y Facebook. Si un actor malintencionado tomara y usara un token, podrían iniciar sesión como ese usuario, eliminando de manera efectiva cualquier anonimato que pudieran haber tenido de la base de datos en primer lugar.
Con la buena intención que la aplicación puede tener, la exposición de la base de datos pone a los usuarios, que confían en la aplicación para mantener segura su información y sus identidades anónimas, en riesgo.
Estos no son solo usuarios, sino también empleados de algunas de las compañías más grandes de Silicon Valley, que publican sobre acoso sexual en el lugar de trabajo y discuten ofertas de trabajo y cultura en el lugar de trabajo. Muchos de los que se inscribieron el mes pasado incluyen ejecutivos de alto nivel de las principales empresas de tecnología, pero no se dan cuenta de que su dirección de correo electrónico, que los identifica, podría estar en texto sin formato en una base de datos expuesta. Algunos usuarios enviaron mensajes privados y anónimos en algunos casos hicieron acusaciones serias contra sus colegas o sus gerentes, mientras que otros expresaron su preocupación de que sus empleadores estaban monitoreando sus correos electrónicos en busca de correos electrónicos de registro de personas ciegas.
Sin embargo, es probable que se haya escapado a muchos de que la aplicación que estaban usando, a menudo como alivio, por empatía o como una forma de revelar irregularidades, estaba casi totalmente sin cifrar y se podía acceder a ella, no solo por parte de los empleados de la aplicación, sino también durante un tiempo cualquiera. La Internet.
¿Tienes un consejo? Puede enviar sugerencias de forma segura a través de Signal y WhatsApp al +1 646-755–8849. También puede enviar un correo electrónico de PGP con la huella dactilar: 4D0E 92F2 E36A EC51 DAAE 5D97 CB8C 15FA EB6C EEA5.
