Una base de datos no segura expone los datos de 3,6 millones de creadores de Passion.io

Una filtración masiva de datos ha puesto en riesgo la información personal de más de 3,6 millones de creadores de aplicaciones, influencers y emprendedores, según revela un informe de vpnMentor. El experto en ciberseguridad Jeremiah Fowler descubrió una base de datos no segura que contenía la friolera de 12,2 terabytes de datos confidenciales, vinculada a una plataforma de desarrollo de aplicaciones.

La base de datos expuesta, que no estaba cifrada ni protegida con contraseña, contenía 3.637.107 registros. Estos incluían nombres, direcciones de correo electrónico, direcciones físicas y detalles de pagos de lo que parecían ser usuarios y creadores de aplicaciones.

Según el informe de Fowler, los archivos internos y el nombre de la base de datos sugerían que los datos pertenecían a Passion.io, una empresa con sede en Texas/Delaware. Passion.io ofrece una plataforma sin código que permite a creadores, coaches y celebridades crear sus propias aplicaciones móviles sin necesidad de conocimientos técnicos. Estas aplicaciones permiten a los usuarios ofrecer cursos interactivos y ganar dinero mediante suscripciones o compras únicas.

La información expuesta, incluyendo información de identificación personal (PII), como nombres, direcciones e incluso imágenes, conlleva riesgos significativos. Fowler advierte que estos datos pueden ser utilizados por delincuentes para realizar ataques de phishing o ingeniería social, que son un punto de partida común para los ciberdelitos. Las direcciones de correo electrónico y los historiales de compras filtrados pueden utilizarse para engañar a las personas y hacer que revelen más información personal o financiera haciéndose pasar por una empresa de confianza.

Además, la exposición de imágenes de perfil de usuarios , algunas de las cuales incluían niños, plantea graves problemas de privacidad. Estas imágenes podrían utilizarse indebidamente para suplantar la identidad, crear cuentas falsas u otras estafas en línea.

El investigador señaló que incluso imágenes aparentemente inofensivas podrían ser potencialmente utilizadas como arma o con fines poco éticos. Además de datos personales, la base de datos también contenía archivos de video y documentos PDF que parecían ser contenido premium vendido por los creadores de aplicaciones, junto con registros financieros internos, lo que podría socavar los ingresos de los creadores y proporcionar a la competencia información sobre las operaciones de la empresa.

Al descubrir la filtración, Fowler informó de inmediato a Passion.io. La empresa actuó con rapidez, restringiendo el acceso público a la base de datos ese mismo día. Passion.io reconoció el hallazgo y afirmó que su responsable de privacidad y su equipo técnico están trabajando para solucionar el problema y garantizar que esto no vuelva a ocurrir.

Sin embargo, si su empresa procesa datos, aquí tiene 5 pasos clave para evitar configuraciones incorrectas en la base de datos y fugas de datos como la que afectó a Passion.io. Cabe destacar que estos pasos no garantizan la perfección, pero reducen la posibilidad de exponer una base de datos y filtrar datos de los usuarios:

• Implementar autenticación multifactor para acceso administrativo.

• Utilice el acceso basado en roles para limitar quién puede ver o modificar datos confidenciales.

• Nunca deje una base de datos expuesta sin una contraseña o control de acceso.

• Utilice protocolos de cifrado fuertes y administre las claves de forma segura.

• Asegúrese de que todos los datos confidenciales estén cifrados tanto en el disco como durante la transferencia.

• Configure alertas para exposición pública o patrones de acceso inusuales.

• Utilice herramientas de seguridad en la nube o escáneres de configuración (por ejemplo, AWS Config, GCP Security Command Center) para detectar configuraciones erróneas en tiempo real.

• Pruebe no sólo su aplicación, sino también sus capas de almacenamiento y base de datos.

• Realice evaluaciones de vulnerabilidad y pruebas de penetración rutinarias en su infraestructura.

• Mantenga la documentación actualizada y aplique las políticas durante el desarrollo.

• Asegúrese de que todos los miembros del equipo que manejan la infraestructura sepan cómo proteger las bases de datos en la nube, administrar permisos y detectar configuraciones riesgosas.