Un servidor de MongoDB expone los datos de usuarios de las criptomonedas
Los investigadores de seguridad han tropezado con una base de datos MongoDB que contiene los datos personales de más de 25,000 usuarios que invirtieron o recibieron criptomonedas Bezop (BEZ).
De acuerdo con la empresa de seguridad cibernética Kromtech, la base de datos contenía información como nombres completos, domicilios, direcciones de correo electrónico, contraseñas encriptadas, información de billetera y pasaportes escaneados, licencias de conducir o identificaciones.
La base de datos almacenaba información relacionada con un "programa de recompensas" que el equipo de Bezop ejecutó a principios de año, durante el cual entregaba tokens de Bezop a los usuarios que promovían la moneda en sus cuentas de redes sociales.
Un portavoz de Bezop admitió la violación, alegando que la base de datos fue expuesta inadvertidamente en línea mientras que el equipo de desarrollo resolvió un ataque DDoS el 8 de enero.
Un portavoz dijo hoy que no se robaron fondos de los usuarios después de esta exposición.
La base de datos ahora está asegurada
El portavoz de Bezop dijo que la base de datos contenía detalles sobre alrededor de 6.500 inversores de ICO, mientras que el resto era para usuarios que participaban en el programa de recompensas públicas y recibían tokens de Bezop a cambio.
Los datos parecen haber estado expuestos en línea hasta el 30 de marzo, cuando los investigadores de Kromtech detectaron la base de datos MongoDB en un servidor Google Cloud. La base de datos no contaba con un sistema de autenticación, lo que permitía que cualquiera que se conectara a él tuviera acceso a la información almacenada.
There are 1384 cryptocurrencies as of Jan 2018. One of them had a database of 25K active users with passwords and login details to the accounts/wallets, and also links to scanned documents like passports, driving licenses etc.
— Bob Diachenko (@MayhemDayOne) 10 de abril de 2018
El investigador de Kromtech, Bob Diachenko, dijo hoy que la base de datos se eliminó unas horas después de que tuiteó al equipo de Bezop.
"Esa base de datos ha sido cerrada y asegurada desde entonces", dijo el equipo de Bezop esta semana, y afirmó que ya notificaron a los usuarios del incidente. "Las tarjetas de identidad de los inversores tampoco se almacenaron en la base de datos. Esto también está fuera de línea ahora".
Diachenko confirmó que un sistema de autenticación ahora protege la base de datos que encontró a fines de marzo, aunque no hay forma de saber si alguien, excepto el equipo de Kromtech, descubrió la misma base de datos.
No es el primer fallo de seguridad
Este no es el único incidente relacionado con la seguridad que parece haber afectado a los usuarios de Bezop. A principios de año, un blog de Steemit acusó a la compañía de exponer innecesariamente a los usuarios enviando contraseñas de registro de ICO en texto sin formato por correo electrónico.
Bezop es una nueva criptomoneda que se lanzó a fines del año pasado, y cuyo equipo recientemente realizó una oferta inicial de monedas (ICO) para recaudar dinero para crear una red de tiendas de comercio electrónico basadas en blockchain.
El único reclamo de fama de la moneda es que el experto en seguridad cibernética John McAfee incluyó a Bezop en sus recomendaciones de "ICO de la semana". Bezop luego admitió que pagó a McAfee por la promoción. Actualmente, la moneda ocupa el puesto 728 en el sitio web de CoinMarketCap, con un precio de cotización actual de 0.06 dólares por token de Bezop.