Ferramenta de marketing expõe os detalhes de centenas de utilizadores de sites de namoro
Foi uma equipa da vpnMentor que descobriu um servidor em Elasticsearch com detalhes pessoais de centenas de milhares de utilizadores deste tipo de sites, sem autenticação.
Esta base de dados continua cópias de notificações por push que estes sites estavam a enviar aos utilizadores por via do serviço de notificação por push Mailfire.
Entre os detalhes, incluem-se:
- Nomes completos
- Idade e data de nascimento
- Género
- Endereços de email
- Localizações dos emissores
- Endereços IP
- Imagens de perfil carregadas pelos utilizadores
- Descrições biográficas dos perfis
Parte da informação vazada dizia também respeito a interesses sexuais e outros relacionamentos da pessoa.
Algumas das notificações continham links para o perfil dos utilizadores, além de chaves de autenticação; o atacante podia, dessa forma, usar estes URL's para aceder ao perfil de um utilizador num site de namoro sem o conhecimento da password.
Mais informações: https://siliconangle.com/2020/09/13/users-adult-dating-sites-exposed-mailfire-data-leak/
Comentários