Fuga de datos en la página de contactos MeetOne

Escrito por Adrián Crespo
Redes Sociales
1

Los problemas de las redes sociales comienzan a ser un tópico del día a día de un usuario. A lo largo de este año hemos podido comprobar como las redes sociales LinkedIn y Last.fm tenían serios problemas de seguridad, lo que dejaba al descubierto y en manos de terceras personas millones de contraseñas de usuarios, o incluso Yahoo! en el último mes ha experimentado problemas que se han saldado con el acceso por parte de personas ajenas a la empresa a los datos personales de los usuarios.

En esta ocasión ha sido el portal de citas MeetOne el que se ha visto afectado por un problema de seguridad. El problema permitía que cualquiera pudiese tener acceso a las contraseñas de los usuarios, únicamente incrementando un parámetro que formaba parte de la dirección URL.

Modificando este parámetro que formaba parte de la URL el usuario podía añadir funciones especiales a la API de navegación del portal de citas. Estas nuevas funciones permitían tener acceso tanto a los correos electrónicos que los usuarios habían facilitado, como a las contraseñas que los usuarios habían asignado a sus cuentas. El portal de citas cuenta en la actualidad con cerca de 1 millón de usuarios, por lo que la fuga de datos podría o puede haber sido cuantiosa.

Acceso a todo tipo de información

Una vez se había modificado este parámetro de la URL, el usuario tenía acceso no sólo a las credenciales de acceso sino a todo lo relacionado con la información personal de los usuarios, incluidas las fotos, por lo que de haberse visto afectados los usuarios, se hubiese tratado de la totalidad.

Pasadas unas horas, los responsables de la red social deshabilitaron la API del portal y minutos más tarde fue restablecida, cuando el problema de seguridad fue completamente subsanado. Uno de los responsables del servicios, Nils Hening, ha informado que los datos bancarios no se han visto en ningún momento comprometidos. Pero de momento no ha clarificado cual ha podido ser la causa del fallo de seguridad.

Desconocen la antiguedad de ese agujero de seguridad

Una vez más, volvemos al problema de siempre ya que los responsables de seguridad del servicio no saben exactamente el tiempo que lleva habilitado ese agujero de seguridad y tampoco saben si terceras personas han podido aprovecharse de él. Por lo tanto y como medida de precaución, han reseteado todas las contraseñas del casi millón de usuarios para evitar robos de cuentas o problemas de privacidad en las mismas.

¿Está descuidada la seguridad en este tipo de páginas web? ¿Por qué tantos problemas en tan poco espacio de tiempo?