Estamos tristemente acostumbrados a que se sucedan filtraciones masivas de datos, ya sea por hackeos de alto calado o por simple falta de interés en las más elementales medidas de seguridad. Pero hay ocasiones en las que no hablamos de esos motivos. La página de webcams para adultos CAM4 ha sido la última en quedar expuesta.
CAM4 ha perpetrado una filtración de datos masiva: más de 7 terabytes de datos entre los que figuran nombres, orientaciones sexuales, registros de pago y transcripciones de chat que dejan un total de 10.880 millones de registros. Todo un desastre que ha dejado expuesta la privacidad de millones de usuarios.
Pero, ¿ha sido cosa de un hacker? Todo apunta a que no. Según explica Wired, el sitio especializado en seguridad Safety Detectives descubrió que CAM4 había configurado mal una base de datos de producción ElasticSearch para poder encontrar fácilmente información de identificación personal así como detalles corporativos o registros de detección de spam.
Desastre en CAM4
Montaje simulando un hackeo.
El investigador de Safety Detectives, Anurag Sen, ha dejado claro que "dejar un servidor de producción expuesto públicamente sin ninguna contraseña es realmente peligroso para los usuarios y para las empresas". Es importante recalcar que no hay evidencias de que CAM4 haya sido afectado por un ataque informático, y mucho menos de que haya delincuentes involucrados en este problema. No obstante, que no haya evidencias no quita la posibilidad de que este haya sido el motivo.
El problema real de CAM4 es el listado de datos filtrados por CAM4; los expertos que identificaron el problema han encontrado datos que se fechan desde marzo de este año, y el carácter de estos datos es especialmente sensible. Se detallan países de origen, fechas de registro, nombres de usuario, preferencias de idioma, correspondencia entre empresa y usuarios y, más importante aún, información de los dispositivos usados para ver webcams.
De los 10.880 millones de registros que se han encontrado, 11 millones contenían direcciones de correo electrónico. Otros 26,39 millones tenían hashes de contraseñas tanto para usuarios de CAM4 como para sistemas de sitios web. Asimismo, unos cientos incluían además nombres, datos bancarios o cantidades de pago.
Se estima que aproximadamente 6,6 millones de usuarios estadounidenses han sido afectados por la filtración, junto con 5,4 millones en Brasil, 4,9 millones en Italia y 4,2 millones en Francia. No está claro, por otra parte, en qué medida el problema ha afectado también a las propias integrantes de las webcams.
Un error muy caro
Código digital
El problema no es nuevo, ni mucho menos. Es similar al desastre que hubo hace unos años con Ashley Madison, la web de encuentros extramatrimoniales, que también filtró millones de datos de millones de usuarios. Los errores cometidos por CAM4 no obstante pueden tener unas consecuencias aún mayores.
Los cambios en Elastic Search han sido la causa de multitud de fugas de datos de alta importancia. El consultor de seguridad Bob Diachenko asegura que esta experiencia es muy común para él, y que está acostumbrado a ver "instancias expuestas de Elastic Search. La única sorpresa que ha habido con esto es la información que ha sido expuesta esta vez".
Existen consecuencias directas de esta filtración, como por ejemplo la implicación de seguridad que suponga que muchos de estos usuarios reutilicen sus contraseñas. El problema reside en que estos datos podrían haber puesto en riesgo a CAM4 y a otros sitios webs con sistemas de seguridad similares. Así, esta fuga les podría haber dado a los atacantes potenciales una hoja de ruta sobre cómo sortear defensas.
En caso de que hayas sido usuario de la web, te recomendamos darte de baja del sitio o, en su defecto, desligar tu correo electrónico de la web porno. Si reutilizas tu contraseña y la estás usando en esta web, cámbiala, tanto esta como la de tus otros servicios.