Un lapso de seguridad en JCrush, una aplicación de citas diseñada para la comunidad judía, dejó una base de datos abierta sin contraseña, exponiendo registros confidenciales de usuarios y mensajes privados a cualquiera que supiera dónde buscar.
La base de datos backend del sitio tenía alrededor de 200,000 registros de usuarios, según los investigadores de seguridad Noam Rotem y Ran Loca, quienes compartieron sus hallazgos exclusivamente con TechCrunch y los escribieron en vpnMentor.
Ninguno de los datos estaba encriptado, dijeron los investigadores a TechCrunch.
Obtuvimos una muestra de los registros a verificar. De lo que vimos, los registros contenían el nombre del usuario, el sexo, la dirección de correo electrónico, la dirección IP, la ubicación geográfica, así como su ciudad, estado y país, fecha de nacimiento, sus preferencias sexuales, su denominación religiosa y las fotos que usan en JCrush .
Dependiendo de cómo se haya registrado el usuario, los registros también muestran la ID de Facebook del usuario, que apunta directamente a su perfil de Facebook. También incluye el token de acceso, que se puede usar para hacerse cargo de la cuenta de un usuario de JCrush sin necesidad de su contraseña.
En algunos casos, los datos de geolocalización eran tan precisos que era fácil identificar exactamente dónde vivían algunos usuarios, especialmente en vecindarios residenciales.
La base de datos también contenía mensajes privados, muchos de ellos explícitos y gráficos.
Aunque los investigadores no profundizaron en los datos, teniendo en cuenta las implicaciones de privacidad, encontraron registros relacionados con las cuentas de “incógnito”, que permiten a los usuarios pagar para navegar por el sitio de forma anónima.
La fundadora de la aplicación, Natasha Nova, no respondió a una solicitud de comentarios. Un portavoz anónimo de la empresa matriz de JCrush, Northsight Capital, dijo que estaba “al tanto” de la situación y “aseguró la base de datos inmediatamente cuando ocurrió el problema”.
“No ha habido ninguna indicación de que los datos hayan sido accedidos por partes malintencionadas o que hayan sido mal utilizados de alguna manera”, dijo la compañía. Cuando se le preguntó, la compañía no dijo qué evidencia tenía para su reclamo, pero observó que la compañía planea notificar a sus usuarios y autoridades sobre el incidente.
Es lo último en una serie de exposición de datos en aplicaciones de citas, o compañías que ofrecen anonimato y privacidad.
El año pasado, una aplicación de citas para partidarios conservadores, Donald Daters, admitió una filtración en la base de datos en su primer día de operaciones. Solo alrededor de 1,600 usuarios tuvieron su información expuesta. En mayo, una aplicación popular de citas chinas para mujeres gays y queers, Rena, que tenía más de cinco millones de usuarios, dejó su base de datos abierta y expuesta.
Uber está mejorando sus implementaciones de IoT en todo el mundo mediante la adopción de…
Obras de motor de materia y Bharti Airtel, un proveedor de servicios de telecomunicaciones ha…
En The Legend of Zelda: Breath of the Wild, los guardianes son una forma primitiva…
Muchos de nosotros nos enamoramos absolutamente de Wall-E, el personaje principal de una…
Dhruv Bhutani / Android AuthorityCada año, los fanáticos de los teléfonos inteligentes esperan con ansias…
Apple ha anunciado que Final Cut Pro finalmente llegará para el iPad. Tras años de…