El investigador de seguridad Oliver Hought, accedió a una base de datos pública de Urban Massage, la famosa startup para masajes cuya aplicación móvil permite conectar a sus clientes con profesionales del masaje.

De acuerdo con el reporte de TechCrunch, el investigador les reportó acerca de la vulnerabilidad que dejó la base de datos ElasticSearch, expuesta en Google y sin contraseña.

Hought explicó que descubrió la base de datos mediante Shodan, un motor de búsqueda para dispositivos y sistemas conectados a Internet.

Según el investigador, la base de datos contiene registros de 309,000 usuarios, más de 351,000 registros de reservas y más de 2,000 registros de terapeutas.

Entre los datos filtrados figuran nombre, teléfono, correo y dirección de los pacientes y terapeutas, así como las quejas de estos últimos, que marcaban a algunos clientes como “peligrosos”, por mantener una conducta sexual inapropiada.

Entre las quejas citadas por TechCrunch, se encuentran que los clientes solicitaron “masajes en el área genital” y “servicios sexuales del terapeuta”, todas estas identificadas con su nombre, teléfono y correo electrónico de la persona.

El sitio quiso comprobar la veracidad de la información y tomó unos datos de los pacientes al azar para contactarlos, para su sorpresa, sí encontraron coincidencias. De hecho, uno de los afectados señaló que se trataba de una violación a la privacidad por parte de Urban Massage.

China propone que aplicaciones de seguimiento deben solicitar permiso del usuario

Luego del reporte del sitio, la empresa reitró la base de datos, pero el investigador asegura que estos datos pudieron haber estado expuestos por unas semanas, dando pie a que algún pirata informático pudiese acceder a esta información delicada.

No obstante, según un reporte de Gizmodo, el CEO de Urban Massage, Jack Tang, negó que su compañía “filtró” cualquier dato e incluso amenazó al sitio con entablar una demanda por difamación:

no es cierto que Urban filtró ningún dato (nos estamos contactando con Techcrunch para enmendar esta declaración”. su artículo). La declaración en su artículo sería engañosa y nos reservamos nuestros derechos .

Asimismo, el CEO aseguró que cerraron la base de datos después del reporte de TechCrunch:

Cerramos de inmediato la vulnerabilidad potencial y tomamos todas las medidas apropiadas, incluso notificando a los usuarios y al ICO. El investigador ahora nos ha confirmado que no copió ni retuvo ningún dato y que no le pasó nada a nadie más que al periodista . Ese fue el único acceso que conocemos .

Cabe destacar que esta empresa se rige por las leyes europeas, lo que complica aún más el caso, ya que esta fuga de datos representa una violación a la GDPR, por lo que Urban podría enfrentar medidas económicas de hasta el 4% de sus ingresos anuales globales.

Más en TekCrispy