Descargador de videos online expone los datos de usuario

AXCESS · Mayo 23, 2024, 10:11:51 PM

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

El 24 de marzo, el equipo de investigación de Cybernews descubrió una instancia abierta de Kibana perteneciente al descargador de vídeos en línea Dirpy:

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Con sus bases de usuarios más grandes en Japón y EE. UU., Dirpy ofrece un servicio de descarga de videos en línea que se utiliza principalmente para YouTube y sitios web para adultos.

Dado que existen muchos proveedores de servicios, el estatus legal de dichas plataformas sigue siendo un área gris. Si bien generalmente es ilegal descargar videos de YouTube u otras plataformas sin el permiso del titular de los derechos de autor, sigue siendo legal descargar videos para uso personal y no comercial.

A pesar de la cuestionable legalidad del servicio, la demanda de descargadores de vídeos online es enorme. Solo la plataforma de Dirpy recibe dos millones de visitantes mensuales, lo que significa que las malas prácticas de ciberseguridad podrían afectar a una cantidad sustancial de personas.

El equipo de investigación de Cybernews identificó que el descargador de videos Dirpy no logró configurar correctamente la autenticación en su Kibana, lo que resultó en la filtración de registros que contienen 15,7 millones de entradas de datos privados.

Los datos filtrados incluyen:

•   Direcciones IP de usuario

•   ID de cuenta de usuario premium

•   Registros de actividad con contenido descargado, incluido contenido explícito

•   URL del contenido solicitado

•   Información de diagnóstico del usuario

Registros de actividad que muestran a un usuario descargando contenido NSFW
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Kibana es una herramienta de visualización de datos de código abierto para crear paneles interactivos. Ofrece potentes capacidades de búsqueda y consulta, admite monitoreo de datos en tiempo real y genera informes.

Estas características de Kibana provocaron que los datos de los usuarios de Dirpy se filtraran en tiempo real hasta que se cerró la instancia. Después de que el equipo se puso en contacto con la empresa, se aseguró el acceso a la instancia. La investigación muestra que los datos de Dirpy estuvieron disponibles del 18 de marzo al 24 de abril de 2024.

Una vez que una instancia de Kibana está expuesta a Internet y no está protegida mediante autenticación, cualquiera puede acceder a ella, incluidos los actores de amenazas, quienes pueden usar fácilmente los datos filtrados con fines maliciosos.

Se filtraron registros de descargas de contenido explícito

La filtración es un motivo importante de preocupación, ya que expuso registros de videos descargados, incluidas las direcciones IP de los usuarios vinculadas al contenido que descargaron. Una parte sustancial del contenido descargado procedía de sitios para adultos y revelaba información confidencial sobre los usuarios, como su orientación sexual, hábitos e intereses.

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

El impacto de la filtración se ve algo reducido porque la versión gratuita del servicio está disponible para cualquier persona sin necesidad de crear una cuenta. Sin embargo, con o sin cuenta, las direcciones IP han quedado expuestas, lo que supone un riesgo. Las IP se pueden utilizar para identificar a los usuarios, junto con las ubicaciones aproximadas y, en algunos casos, exactas.

La filtración actual es un claro recordatorio de la importancia de tener precaución al utilizar servicios en línea. Cada acción en Internet deja un rastro. Es muy recomendable utilizar una VPN o un servicio de proxy seguro, ya que elimina el vínculo entre la dirección de red y la información de identificación personal.

Fuente:
CyberNews
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Descargador de videos online expone los datos de usuario

AXCESS

Mayo 23, 2024, 10:11:51 PM