La filtración de datos V Shred expone PII, fotos sensibles de clientes y entrenadores de health


La marca de acondicionamiento físico V Shred expuso la información de identificación personal (PII) de más de 99,000 clientes y entrenadores, y aún no ha resuelto completamente la base de datos de fugas responsable.

Con sede en Las Vegas V Shred es una compañía que ofrece planes de acondicionamiento físico para mujeres y hombres, con un enfoque en entrenamientos rápidos, planes de nutrición y suplementos. La firma dice que tiene clientes en 119 países, 12 millones de visitantes únicos a su sitio website por mes y más de 40,000 suscriptores a su programa universitario.

El jueves, el equipo de investigación de vpnMentor, dirigido por Noam Rotem y Ran Locar, hizo el fuga de datos pública, en el que un segmento de AWS S3 no asegurado expuso la PII de al menos 99,000 individuos.

Ver también: Japón investiga la posible fuga de prototipos de datos de misiles en el hack de Mitsubishi

El depósito, descubierto el 14 de mayo, originalmente contenía 1.3 millones de archivos, con un whole de 606GB de datos. Entre los archivos había tres archivos .CSV de particular interés una que parecía ser una lista de generación de potential customers, otra una lista de correo electrónico de clientes y una lista de formadores.

Combinados, los archivos contenían nombres, domicilios, direcciones de correo electrónico, fechas de nacimiento, algunos números de Seguridad Social, detalles de cuentas de redes sociales, nombres de usuario y contraseñas, rangos de edad, géneros y estado de ciudadanía, entre otros puntos de datos.

El archivo .CSV de mayor importancia tenía un tamaño de 180 MB y contenía la PII de decenas de miles de personas.

ZDNet verificó la cubeta abierta y, al momento de escribir, muchos recursos permanecen abiertos y accesibles, desde materiales de la compañía hasta guías de dieta, planes de ejercicios y fotos de usuarios.

CNET: La FTC advierte sobre la estafa COVID-19 que dice dar fondos para información bancaria

Los archivos CSV que parecen contener la información relacionada con los entrenadores y los clientes permanecen expuestos. Se incluyen identificaciones, nombres y apellidos, direcciones de correo electrónico, géneros y direcciones de correo electrónico del cliente.

screenshot-2020-07-01-at-15-23-39.png

Además, el cubo abierto contiene fotos de antes y después de los miembros, algunas de las cuales podrían considerarse sensibles.

Debido a los materiales de la compañía almacenados en el cubo, no fue difícil determinar si V Shred era el propietario. Tanto V Shred como AWS fueron notificados del cubo mal configurado el 18 y 20 de mayo, respectivamente.

V Shred respondió al equipo de investigación a través del servicio al cliente de Amazon el 1 de junio. En una conversación entre la compañía y los investigadores, un miembro del equipo V Shred negó que hubiera un problema con la exposición de PII.

TechRepublic: Cómo proteger su entorno de escritorio remoto de ataques de fuerza bruta

Al principio, el miembro del equipo dijo que el cubo solo se usaba para almacenar activos website, CSS y archivos de medios, y agregó que si los recursos se hicieran públicos, los miembros no podrían descargar sus planes de comidas o capacitación.

Además, V Shred dijo que para acceder a dicho contenido, se tendría que compartir un enlace y / o un usuario tendría que iniciar sesión.

Sin embargo, los investigadores explicaron que el depósito está abierto para que los usuarios anónimos naveguen, incluida cada lista de directorios separada.

El 18 de junio, se eliminó el archivo principal .CSV que contenía una PII sustancial, pero el resto del depósito aún es público y accesible.

«V Shred es una empresa joven y parece estar dirigida por un pequeño equipo», señaló VPNmentor. «Sin embargo, sigue siendo responsable de proteger a las personas que usan sus productos y de suscribirse a sus servicios. Al no hacerlo, V Shred ha puesto en peligro la privacidad y seguridad de las personas expuestas y el futuro de la compañía».

V Shred no ha respondido a las repetidas solicitudes de comentarios al momento de escribir.

Cobertura previa y relacionada


¿Tienes una propina? Póngase en contacto de forma segura a través de WhatsApp | Señal en +447713 025 499, o más en Keybase: charlie0




Enlace a la noticia first