- La infracción proporcionó acceso directo a 22 millones de registros de sesiones y 3,47 millones de nombres de usuario y direcciones de correo electrónico o identificadores similares.
- La plataforma, que afirma que la privacidad y la seguridad son principios fundamentales de sus ofertas, se utiliza a menudo para conversaciones íntimas o sinceras con extraños, lo que hace que esta falla de seguridad sea un problema crítico.
- Las filtraciones también contienen metadatos confidenciales que pueden vincularse a los usuarios, incluidos detalles del dispositivo, sexo, información de pago e información específica de geolocalización, como dirección IP, país e idioma.
En lo que se considera una importante falla de seguridad cibernética, la plataforma de video chat aleatorio FTF Live ha comprometido sin saberlo a millones de sus usuarios debido a una mala configuración.
La infracción expuso efectivamente información de 3,47 millones de usuarios potencialmente identificables en 22 millones de sesiones, gracias a un panel de Kibana de acceso abierto identificado por investigadores de seguridad, que luego fue revelado a los propietarios de la empresa.
Un fallo de seguridad importante
La filtración, que esencialmente permitió el acceso a una cantidad significativa de metadatos de los usuarios, expuso a los usuarios de la plataforma a su identidad, ubicación e información de pago, lo que permitió atacar a usuarios vulnerables, como personas de la comunidad LGBTQ+ en el extranjero, aquellos que participan en conversaciones sensibles o explícitas, e incluso menores.
La filtración también expuso los registros de backend del servicio, gracias a una instancia insegura de esquiva del visor de registros basado en el navegador, que según los investigadores es una exposición secundaria para la plataforma, que no solo brindó una vista panorámica de cómo funciona todo el servicio, sino que también expuso contraseñas de texto sin formato, tokens de sesión e incluso tokens API internos.
Los investigadores de CyberNews dijeron: “La combinación de instancias públicas de Kibana y Dozzle pública plantea un grave riesgo de seguridad”, y señalaron que ya habían intentado ponerse en contacto con la empresa sobre la gravedad de su investigación.
Cuando CyberNews intentó ponerse en contacto con la empresa detrás de la plataforma FTF Live, se encontró con el silencio, incluso cuando intentaba navegar por una compleja estructura de propiedad que, según afirma, plantea preocupaciones sobre la transparencia.
La aplicación de Android que se eliminó posteriormente se publicó bajo ‘Burhan LTD’, mientras que la política de privacidad del sitio identifica al propietario como Cooy Ads Ltd, con sede en Chipre, incluso cuando su controlador de datos, atención al cliente y marca parecen estar bajo el nombre de Pixover.
La falta de respuesta de la compañía ha preocupado aún más a los investigadores, ya que aún no se ha establecido la gravedad de la divulgación, la gran cantidad de registros potencialmente publicados y la duración de la exposición pública.
“La filtración convierte lo que muchas personas suponen que son interacciones anónimas y desechables en un rastro de datos altamente detectable”, dijeron los investigadores, señalando que los problemas incluyen el compromiso de cuentas, estafas dirigidas o incluso el acoso por parte de entidades motivadas.
Si bien es importante tener en cuenta que no parece que se hayan publicado conversaciones de video sin procesar, la violación permite que los usuarios sean rastreados, identificados y monitoreados por terceros con acceso a dicha información, lo que marca tanto una violación grave como una inacción preocupante por parte de los propietarios de sitios web, ya que los investigadores se refieren a ella como un “problema de plataforma que rodea a una plataforma de comunicación más amplia”.
Siga TechRadar en Google News Y Agréganos como fuente preferida Recibe noticias, reseñas y opiniones de nuestros expertos en tu feed.
