Los detalles personales de 54 millones de usuarios del creador de sitios web uID.me, desarrollado por la compañía rusa de hosting uCoz, se han visto comprometidos.
La filtración afecta a clientes e incluye registros que datan desde 2012 hasta la actualidad. Hay nombres, nombres de usuario, fechas de nacimiento, identificaciones, detalles de contacto como emails y números de teléfono, ubicaciones, marcas de tiempo y direcciones IP.
Además, han quedado expuestos datos incluso más confidenciales, como hashes de contraseñas, hashes de autenticación, biografías, enlaces a fotos, respuestas secretas, direcciones IP del último visitante y perfiles de redes sociales.
El origen de la filtración fue una base de datos MongoDB mal configurada. El investigador de ciberseguridad Bob Diachenko advierte de que los datos quedaron accesibles públicamente durante más de una semana.
"Con acceso a este conjunto de datos completo, los actores de amenazas podrían llevar a cabo diversas actividades maliciosas, incluido el robo de identidad, ataques de phishing, esquemas de ingeniería social, acceso no autorizado a cuentas en múltiples plataformas de redes sociales así como, potencialmente, comprometer la seguridad y privacidad online de las personas", ha comentado al medio Cyberdaily.
Por ahora no hay evidencias de que los ciberdelincuentes hayan accedido a algunos de los datos expuestos o que los hayan utilizado con fines maliciosos.
Otras bases de datos de MongoDB mal configuradas
Durante los últimos meses ha habido varios casos de brechas de seguridad con filtraciones de datos de grandes proporciones ocasionadas por bases de datos MongoDB mal configuradas.
Por ejemplo, los datos de 2,5 millones de empleados de la industria del cannabis fueron expuestos recientemente justo por este motivo. La misma causa ocasionó la filtración de datos de otros 2,1 millones de usuarios de la aplicación de aprendizaje LectureNotes.
Aunque MongoDB no es la culpable de estos incidentes, la compañía ha experimentado algunos problemas de seguridad después de ser víctima de un ciberataque a finales del año pasado. En el mismo los adversarios accedieron a sus sistemas corporativos.