Quickfox expone accidentalmente información sensible de un millón de usuarios
Recientemente, un estudio llevado a cabo por el equipo de seguridad de la empresa WizCase ha descubierto que el servicio gratuito de VPN Quickfox ha expuesto datos sensibles de al menos un millón de usuarios de su plataforma.
El origen del problema es un fallo de configuración en el sistema ELK (ElasticSearch, Logstash y Kibana) de Quickfox, en el cual se habían añadido restricciones de acceso para el servicio de Kibana, sin embargo, no habían aplicado la misma medida de seguridad para ElasticSearch. Esto permitía a cualquiera acceder a la información sensible de los usuarios sin necesidad de autenticación. No es la primera vez que un fallo en ElasticSearch provoca una filtración de sus usuarios. Por ejemplo, en el 2019 Honda filtró datos con información confidencial de más de 26.000 clientes, y del mismo modo en 2020 Razer filtró datos de más de 100.000 jugadores.
Dentro de la información sensible de los usuarios que se ha expuesto, se encontraba información desde Junio de 2021 a Septiembre 2021, incluyendo nombres, números de teléfono, dispositivos de acceso, direcciones IP, e incluso las contraseñas almacenadas ‘hasheadas‘ utilizando MD-5.
Hay que tener en cuenta el riesgo que implica una exposición de datos sensibles de este tipo, ya que un atacante podría llegar a utilizarla para llevar a cabo campañas de phishing o incluso para llevar a cabo fraudes para el robo de credenciales bancarias. Además, la filtración de las contraseñas de los usuarios permitiría a un atacante tomar el control de las cuentas de los usuarios, y en el caso de reutilización de contraseñas de los usuarios afectados, el daño podría ser mayor.
Desde Hispasec, recomendamos a todos los usuarios que hayan utilizado el servicio de Quickfox durante las fechas de la filtración, que actualicen su contraseña. Además, como buena práctica, recomendamos la rotación de todas las contraseñas con cierta frecuencia.
Más información:
WizCase – A Million People’s Personal Information Leaked by Chinese VPN Application:
https://www.wizcase.com/blog/quickfox-breach-report/
InfoSecurity Magazine – VPN Provider’s Misconfiguration Exposes One Million Users:
https://www.infosecurity-magazine.com/news/vpn-provider-misconfiguration-users/?&web_view=true
GizChina – Free VPN service leak millions of users personal information:
https://www.gizchina.com/2021/10/19/free-vpn-service-leak-millions-of-users-personal-information/
La entrada Quickfox expone accidentalmente información sensible de un millón de usuarios se publicó primero en Una al Día.
Powered by WPeMatico