Un grupo de investigación de vpnMentor descubrió recientemente que la información de la base de datos de la aplicación para citas JCrush, habían sido filtrados.
Los hacktivistas Noam Rotham y Ran Locar, miembros clave del equipo de investigación de vpnMentor, encontraron una brecha que resultó en hasta 200.000 usuarios. La filtración incluía información personal, preferencias y a veces conversaciones privadas explícitas dentro de la aplicación JCrush. JCrush es parte de la familia de aplicaciones de citas Crush Mobile (1.5 millones de usuarios), que fue adquirida por Northsight Capital, Inc. en 2018. (OTCQB: NCAP).
Nuestro equipo descubrió 18.454 GB de registros no cifrados en la base de datos Mongo. En el momento de la publicación, la base de datos ya no estaba disponible y la filtración parece haberse detenido.
Cronología del descubrimiento y reacción:
| Filtración de datos descubierta | 30 de mayo de 2019 |
| Equipo de vpnMentor contacta a JCrush | 31 de mayo de 2019 |
| Reparación de la fuga de datos | 31 de mayo de 2019 |
| No hay respuesta de JCrush; Contacto con Northsight Capital | 2 de junio de 2019 |
¿Qué información incluía la base de datos?
La gravedad de esta desviación es importante debido a la naturaleza de los datos publicados. La filtración incluyó todas las comunicaciones privadas no cifradas entre usuarios. Muchas de estas conversaciones fueron acompañadas de mensajes explícitos, así como de datos personales e información personal identificable.
Además de los mensajes personales, los usuarios de JCrush tenían información adicional, incluyendo perfiles completos y fotos, medios privados, perfiles y tokens de Facebook, y más.
¿Qué significa esto en el mundo real? Como resultado de la filtración, descubrimos datos de usuarios sensibles y correspondencia que incluye
- Nombres y apellidos de los usuarios
- Direcciones de correo electrónico
- Tokens de Facebook que se pueden utilizar para iniciar sesión.
- Perfil de usuario completo
- Fotos de perfil
- Mensajes privados, a veces muy íntimos, y fotos sensibles enviadas en estos mensajes.
- Cuántos “movimientos deslizantes” ha recibido el usuario al mes.
- Cuándo y dónde entraron por última vez al sitio
JCrush, de acuerdo con su Política de Privacidad, registra y almacena la siguiente información sobre sus usuarios, todos los cuales son susceptibles a las últimas infracciones:
- Números de identificación únicos de los dispositivos móviles de los usuarios de FUND
- Posición geográfica de los dispositivos móviles de los usuarios durante el trabajo de aplicación activo.
- Direcciones IP de los ordenadores de los usuarios de FOUND.
- Información técnica sobre ordenadores de usuario o dispositivos móviles (por ejemplo, tipo de dispositivo, navegador web o sistema operativo).
- Configuración de usuario y configuración (zona horaria, idioma, privacidad, preferencias de producto, etc.)
- URL de la última página web visitada por los usuarios antes de visitar el sitio web de JCrush.
- Clics en los botones, controles y anuncios (si los hay).
- Cuánto tiempo hace que los usuarios utilizan JCrush y qué servicios y funciones utilizan.
- Estado de JCrush en línea o fuera de línea.
Al analizar los datos, encontramos información completa de los usuarios e informes de varios funcionarios gubernamentales, incluyendo funcionarios de los Institutos Nacionales de Salud, el Departamento de Trabajo y Empleo de Brasil, el Departamento de Cultura del Reino Unido, el Departamento de Justicia de Israel, y otros. Esta filtración expone fácilmente a estos individuos y a cualquier otro individuo al riesgo de extorsión por parte de los hackers.
JCrush ofrece un “modo de incógnito” especial, en el que los usuarios pueden pagar un monto de dinero para ocultar su perfil a todos los usuarios hasta que los hayan seleccionado como compatibles para entablar una conversación privada. Esta filtración puede exponer a aquellos que desean permanecer en el anonimato en sus esfuerzos de conseguir citas, incluidas las personas en el centro de atención pública o los miembros que están casados.
Esta brecha de datos pone de manifiesto el tipo de información que podría estar disponible para una multitud de amenazas cibernéticas, y cómo pueden afectar las vidas de cientos de miles de personas susceptibles a los caprichos de los delincuentes digitales.
Otras aplicaciones de citas y conexión, como Tinder, admiten y almacenan la información privada y los mensajes de los usuarios. Este es un excelente ejemplo de lo que se puede hacer accesible al público, con o sin mala intención.