YouHodler responde a vpnMentor sobre reporte de fuga de datos

Después de la publicación de un reporte de los investigadores de seguridad del sitio web enfocado en redes, vpnMentor, en el que alertaba de una fuga de datos privados de los usuarios de la plataforma de préstamos respaldado en criptomonedas, YouHodler, esta startup reconoce que efectivamente hubo un error que fue corregido rápidamente, aunque desmienten la filtración de 86 millones de registros.

Añaden que la fuga no estaba directamente relacionada con su base de datos, por lo cual estos registros no contenían información confidencial y nadie se vio afectado.

En su informe vpnMentor señala que descubrió una fuga de la base de datos en el sistema de YouHodler. “Hubo más de 86 millones de registros que incluían los nombres completos de los usuarios, direcciones de correo electrónico, direcciones, números de teléfono, cumpleaños, números de tarjetas de crédito, números de CVV, datos bancarios completos y, en algunos casos, direcciones de billeteras de criptomonedas. Las implicaciones de esta brecha son extensas”.

Respondiendo a una solicitud de comentarios, Anthony Cerullo, gerente de contenido de YouHodler, comentó para CriptoNoticias que: “la fuga de datos no estaba relacionada con nuestra base de datos pero, de hecho, era solo una parte de nuestro registro del sistema (principalmente de nuestros servidores de prueba). Estos registros no contenían contraseñas, ni códigos CCV”.

“Además, la fuga y el error que causó el problema se solucionaron rápidamente y estamos tomando todas las medidas para evitar que esto vuelva a suceder en el futuro. Nuestros expertos técnicos prepararán una explicación detallada, desde su punto de vista, para los próximos días”.

Anthony Cerullo, gerente de contenido de YouHodler.

La empresa publicó un comunicado en su blog oficial en el cual señalan que los ingenieros de YouHodler trabajan en conjunto con sus socios de Cloudflare e IdentityMind para comprobar la configuración de seguridad de sus sistemas y así evitar posibles fugas de datos en el futuro.

YouHodler reconoce que fueron alertados por vpnMentor y sus investigadores Noam Rotem y Ran Locar sobre el evento en el cual sus servidores de registro del sistema estuvieron abiertos al público por un tiempo limitado.

VpnMentor informó que encontró la filtración en la base de datos de YouHodler como parte de su proyecto de mapeo web, tras lo cual sus investigadores Ran y Noam examinan los puertos para encontrar bloques IP conocidos. “Una vez que han descubierto los bloques IP, buscan agujeros en el sistema que indiquen una base de datos abierta. Utilizando su experiencia técnica, pueden confirmar la identidad de una fuga para rastrear los datos hasta su propietario”.

Añaden que tras encontrar el error, acostumbran informar al propietario de la base de datos con la intención de alertarlo de las vulnerabilidades y posterior a ello informan a los afectados. “Nuestro objetivo es crear una Internet más segura para todos los usuarios”, apuntan.

Casa de cambio sueca anunció fuga de datos

Una situación similar ocurrió esta misma semana con la casa de cambio de criptomonedas QuickBit, con sede en Suecia, cuya base de datos quedó expuesta, dejando a la vista, sin necesidad de autenticación, la información personal de los usuarios.

La información incluía nombres completos, direcciones, correos electrónicos, géneros, el perfil de los usuarios y sus fechas de nacimiento. También contenía información de pago como el tipo de tarjeta de crédito y los códigos CVV, además datos sobre transacciones.

Luego la casa de cambio explicó cómo se expuso la base de datos:

“QuickBit ha adoptado recientemente un sistema de terceros para el control de seguridad suplementario de los clientes. En relación con la entrega de este sistema, estuvo en un servidor que se mantuvo visible fuera del cortafuegos QuickBit durante unos días, y por lo tanto accesible para la persona que tiene las herramientas adecuadas”.

QuickBit afirma además que sus técnicos han tomado medidas para asegurar que todos los servidores estén protegidos y evitar la posibilidad de incidentes similares, añadiendo que publicará una versión pública del informe de incidentes en su sitio web.

A finales de junio, la casa de cambio de criptomonedas surcoreana, Bithumb, fue procesada por su presunta falta de adopción de medidas adecuadas para proteger la información personal, que más tarde fue supuestamente explotada por los hackers para robar fondos de la plataforma. Los fiscales alegaron que la violación de los datos condujo directamente al segundo hack que afectó a la plataforma, en la que se robaron casi USD 7 millones en fondos de usuarios.