Empresa de préstamos de Cripto expuso los datos financieros de miles de usuarios

La plataforma de préstamos de Criptomonedas YouHodler dejó millones de registros que contenían datos financieros privados de miles de usuarios expuestos en línea, descubrieron investigadores.

En unentrada de blogvpnMentor dijo que su equipo de investigación, dirigido por Noam Rotem y Ran Locar, descubrió una fuga de base de datos como parte de su proyecto de mapeo web y la rastreó hasta YouHodler.

Los datos expuestos, según descubrieron, ascienden a más de 86 millones de registros que incluyen nombres de usuarios, direcciones de correo electrónico, domicilios, números de teléfono y fechas de nacimiento. Y lo que es peor, también se expusieron números de tarjetas de crédito, números CVV, datos bancarios y direcciones de monederos de Cripto .

"Las implicaciones de esta violación son amplias", dijo la firma.

VpnMentor dijo que se había contactado con YouHodler el 22 de julio, que respondió un día después y solucionó el problema.

El sitio web de YouHodler indica que ha prestado servicio a más de 3.500 clientes y ha otorgado más de $10 millones en préstamos.

En su propiaentrada de blog Sobre la violación, YouHodler afirmó que los archivos expuestos "no contenían ninguna información confidencial y ONE se vio afectado".

Sin embargo, la primera parte de esa afirmación contradice los hallazgos de los investigadores. Rotem y Locar proporcionaron capturas de pantalla de los datos (con partes ocultas para ocultar los datos del usuario) que parecen respaldar la afirmación de que lograron encontrar CCV (imagen superior) y números de tarjeta (imagen inferior) en los registros.

El equipo afirmó: "El primer ejemplo muestra que aún encontramos todos los detalles necesarios para tomar el control total de la tarjeta, incluidos los números CVV".

Agregaron que, si bien el nombre del titular de la tarjeta no aparece en ninguno de estos registros, "numerosos otros registros almacenan nombres y números de tarjetas de crédito juntos".

Los investigadores encontraron además datos que les permiten LINK los nombres de los usuarios con las direcciones de billeteras de Bitcoin .

Según vpnMentor:

La naturaleza de los datos filtrados de la base de datos de YouHodler podría tener graves consecuencias. Cualquier plataforma que almacene datos de tarjetas de crédito debería tomar varias precauciones de seguridad. Si YouHodler solo almacenara el BIN y los últimos cuatro dígitos de las tarjetas de crédito de los usuarios, el impacto en este aspecto T menor.

YouHodler dijo que "entiende que los datos de los usuarios corren el riesgo potencial de verse comprometidos desde fuera de la plataforma", y continuó:

Hacemos todo lo posible para evitar que esto suceda implementando la autenticación de dos factores y la verificación de correo electrónico. Nos aseguramos de que todas las configuraciones de seguridad estén revisadas y actualizadas, y de que no haya vulnerabilidades en nuestros sistemas.

Parece que "lo mejor" en este caso no fue suficiente.

Datosimagen vía Shutterstock; capturas de pantalla cortesía de vpnMentor