Foto: Urban

Urban, una aplicación para solicitar masajes a domicilio, alojaba la base de datos de sus usuarios en un servidor de Google sin contraseña, lo que expuso la información personal de miles de personas y datos tan sensibles como si habían tenido conductas sexuales inapropiadas con los masajistas.

Un investigador de seguridad llamado Oliver Hough encontró la base de datos a través de Shodan —un motor de búsqueda especializado en dispositivos y bases de datos expuestas— y explicó a TechCrunch lo sucedido. Urban, una startup con sede en Londres que antes se hacía llamar Urban Massage, había expuesto en Internet los datos de 351.000 reservas y más de 2000 masajistas, incluidos sus nombres, direcciones de correo electrónico y números de teléfono.

Según TechCrunch, entre los registros había miles de quejas de los trabajadores sobre los clientes. Estos registros incluían quejas sobre cancelaciones persistentes de las reservas y abuso del sistema de recomendaciones para obtener descuentos, pero también sobre acoso sexual. Algunos usuarios habían sido bloqueados por pedir “masajes en el área genital” y solicitar “servicios sexuales” al masajista. Otros habían sido marcados como “peligrosos”.

Todas estas quejas estaban asociadas a la información personal del cliente: su nombre, su dirección y su número de teléfono. Sin embargo, la base de datos no contenía contraseñas ni tarjetas de crédito. TechCrunch contactó con algunos de los usuarios afectados y estos describieron la exposición de sus datos como una “gran violación” de su privacidad.

Advertisement

Urban ha protegido la base de datos desde entonces y asegura que “tomará todas las medidas apropiadas”. Según el nuevo Reglamento General de Protección de Datos de la Unión Europea, la empresa podría enfrentar multas de hasta el 4% de sus ingresos anuales globales.

[TechCrunch]