Se revela como la aplicación de masajes expone la base de datos con comentarios de los trabajadores

Una popular aplicación de reserva de masajes ha derramado los frijoles en 309,000 perfiles de clientes, incluidos los comentarios de sus masajistas o masajistas sobre lo espeluznantes que son sus clientes.

La base de datos abierta de la aplicación, que no requiere contraseña, fue descubierta por el investigador Oliver Hough , quien le dio a TechCrunch .

Hough dijo en un Tweet el martes que la violación fue causada por una seguridad no implementada que debería haber sido fácil, y que la falla podría llevar a "algún chantaje grave".

TechCrunch informa que Urban dejó la base de datos para una instancia de Elasticsearch alojada en Google, que es una herramienta de búsqueda empresarial, en línea sin contraseña, "permitiendo a cualquiera leer cientos de miles de registros de clientes y personal".

Cualquiera que supiera dónde buscar podría acceder, editar o eliminar la base de datos.

Los creadores de la aplicación, que antes se conocía como Masaje Urbano, pero ahora está simplemente "Urbano", confirmaron la violación el martes. En sus Preguntas frecuentes, Urban dijo que los nombres de los clientes, las direcciones de correo electrónico y los números de teléfono estaban expuestos, así como, potencialmente, sus códigos postales si colocaban una reserva en la plataforma. Urban dice que contactará a aquellos cuya información cree que fue expuesta.

La buena noticia: no se expuso ni se accedió a los detalles de la tarjeta de pago. Urban dijo que no almacena tal información.

Las otras buenas noticias: esto no fue un ataque. Más bien, fue una vulnerabilidad expuesta por un investigador de seguridad que buscaba con Shodan: un motor de búsqueda para dispositivos expuestos y bases de datos.

La mala noticia: Urban no mencionó los otros fragmentos que se expusieron, y podrían avergonzar a cualquier persona que no esté orgullosa de ser declarada canceladora de citas crónica o que pida un final feliz. De la reseña de Zack Whittaker en TechCrunch:

Entre los registros se incluyen miles de quejas de trabajadores sobre sus clientes. Los registros incluían quejas específicas: desde bloqueos de cuentas por comportamiento fraudulento, abuso del sistema de referencia y canceladores persistentes. Sin embargo, muchos registros también incluían denuncias de conducta sexual inapropiada por parte del cliente, como solicitar un "masaje en el área genital" y solicitar "servicios sexuales al terapeuta". Otros fueron marcados como 'peligrosos', mientras que otros fueron bloqueados debido a 'investigaciones policiales'. Cada queja incluía la información de identificación personal del cliente, incluido su nombre, dirección, código postal y número de teléfono.

Es posible que la base de datos expuesta haya estado abierta durante al menos unas semanas antes de que Urban la desconectara, lo que hizo después de que TechCrunch lo contactara.

El CEO de Urban, Jack Tang, dijo que había informado al Comisionado de Información (ICO) del Reino Unido sobre la violación. Hasta el miércoles, el ICO no había determinado si iba a investigar.

Declaración de Urban:

Inmediatamente cerramos la vulnerabilidad potencial y tomamos todas las medidas apropiadas, incluso notificando a los usuarios y al ICO.

El investigador ahora nos ha confirmado que no copió ni retuvo ningún dato y que no le pasó nada a nadie más que al periodista. Ese fue el único acceso que conocemos.

Nos gustaría pedir disculpas a cualquier persona potencialmente afectada y continuar investigando este asunto como una prioridad.

TechCrunch se contactó con varios usuarios elegidos al azar cuya información había sido expuesta. Un usuario que solicitó el anonimato dijo que la violación era una "gran violación" de su privacidad.

Hablando de algo enorme, esto podría potencialmente llevar a una gran multa para Urban: la compañía podría enfrentar multas de hasta el 4% de sus ingresos anuales globales si se descubre que infringió las reglas de GDPR.