Los investigadores de CyberNews se han topado con una base de datos no segura que filtra más de 1 millón de fotos NSFW compartidas por usuarios de una aplicación de citas.
La base de datos contenía principalmente archivos de imágenes, con más de 880.000 archivos que apuntaban a imágenes explícitas enviadas por los usuarios a través de mensajes privados. Los investigadores creen que las imágenes filtradas pertenecen a Sweet Chat o Sweet Talk, una aplicación de citas coreana gratuita para adolescentes.
No podemos afirmar con 100% de certeza que este cubo realmente pertenece a la aplicación Sweet Talk", dijeron los investigadores. “Sin embargo, un breve viaje me llevó a esa conclusión. Hay imágenes en la base de datos del servicio SweetChat que conducen al sitio web sweet.chat.
Aunque la recopilación de datos no incluyó información de identificación personal (PII), como nombres, nombres de usuario o direcciones de correo electrónico, todas las imágenes expuestas parecen contener una identificación de usuario numérica que podría usarse para localizar el nombre del usuario exacto de las personas.
El equipo advirtió que otras personas que pudieron haber tenido acceso al enlace podrían haber accedido a los archivos.
“Si asumimos que este cubo no seguro pertenece a Sweet Talk / Sweet Chat, eso significa que los usuarios de Sweet Talk han tenido algunas de sus imágenes más privadas y explícitas filtradas en línea, accesibles para cualquiera que tenga el enlace”, explicó CyberNews. "Desafortunadamente, acceder a un bucket de Amazon S3 no protegido es muy fácil, y hay muchas personas que saben cómo encontrar estos buckets".
Los delincuentes podrían usar las imágenes confidenciales para extorsionar a los usuarios identificados amenazando con revelar los datos a amigos y familiares a menos que se cumplan sus demandas.
Desafortunadamente, el equipo de investigación no pudo confirmar sus hallazgos con Sweet Talk / Sweet Chat.
"Nos contactamos con el fabricante de la aplicación por correo electrónico, pero aún no hemos recibido ninguna respuesta", agregaron los investigadores. "Afortunadamente, Amazon pudo cerrar el depósito sin garantía el 23 de diciembre, 14 días después de que los contactamos por primera vez".
FUENTE: Hot For Security - Bitdefender