El mayor servicio de acompañantes de Brasil sufre una filtración masiva de datos

Recientemente, el investigador de seguridad Jeremiah Fowler descubrió e informó a WebsitePlanet sobre dos bases de datos no protegidas por contraseña que contenían más de 18 millones de registros. Tras una investigación más profunda, se identificó que estos registros pertenecían a un servicio de acompañantes y una aplicación brasileños llamados Fatal Model.

En un principio descubrí una base de datos en la nube expuesta que contenía registros de entrada con referencias a Fatal Model, un sitio web que afirma ser el mayor servicio de acompañantes de Brasil. Los registros revelaban datos relacionados tanto con clientes como con acompañantes, incluidas direcciones de correo electrónico, detalles de cuentas e información de dispositivos.

Tras una inspección más detallada de los registros, también encontré claves de acceso e información de almacenamiento de la cuenta de almacenamiento AWS de Fatal Model, que tampoco estaba protegida por contraseña. Como investigador de seguridad ético, nunca puenteo credenciales ni accedo a información protegida por contraseña. La base de datos contenía una enorme cantidad de información, imágenes de escoltas y archivos internos, incluidos archivos de aplicaciones y código fuente. Este hallazgo es un ejemplo perfecto de cómo una exposición de datos puede llevar a la identificación de otras vulnerabilidades o debilidades en otras áreas de la red de una empresa.

La base de datos de registro se cerró al acceso público el mismo día que la descubrí, mientras que la base de datos de AWS permaneció abierta hasta que envié una notificación de divulgación responsable. Más tarde, recibí una respuesta de Fatal Model informándome de que la base de datos de registro estaba protegida, pero que el cubo de AWS contenía archivos de acceso público.

Nota completa: Web Site Planet.

SendmarcZi zoom

OPINIÓN

Media Kit Ciberseguridadlatam

Tu anuncio en
nuestra web

Convierta a Ciberseguridad LATAM en su aliado estratégico para alcanzar a los líderes y profesionales en ciberseguridad, gobierno de datos y protección de la información de América Latina.