Throne corrige un error de seguridad que exponía las direcciones privadas de los creadores
Una solución recientemente Un error de seguridad en una popular plataforma de soporte para creadores muestra cómo incluso las plataformas centradas en la privacidad pueden poner en riesgo la información privada de los creadores.
Throne, fundado en 2021, se promociona a sí mismo como «un servicio de lista de deseos de conserjería totalmente seguro que actúa como intermediario entre usted y sus fanáticos». Throne afirma apoyar a más de 200 000 creadores mediante el envío diario de miles de artículos de su lista de deseos, al tiempo que protege la privacidad de las direcciones de los hogares de los creadores.
La idea es que los creadores en línea, como los streamers y los jugadores, puedan publicar una lista de regalos para que compren los fanáticos, y Throne actúa como intermediario. «Tus fans pagan por los regalos y nosotros nos encargamos del resto», se lee en su sitio web. «Nos aseguramos de que se procese el pago, se envíe el artículo y, lo que es más importante, que su información privada se mantenga privada».
Pero un grupo de piratas informáticos de buena fe descubrió una vulnerabilidad que socavó esa afirmación y expuso las direcciones privadas de los usuarios creadores.
Entrar Zerforschung, el colectivo alemán de investigadores de seguridad detrás de su último descubrimiento. Es posible que recuerde el colectivo de diciembre cuando encontraron y revelaron importantes errores de seguridad en la alternativa de medios sociales Hive, que se hizo popular durante el éxodo de Twitter bajo el nuevo propietario Elon Musk. . Hive se apagó brevemente para corregir vulnerabilidades encontrado por Zerforschunglo que permitía a cualquiera editar los mensajes de otra persona y acceder a los mensajes privados de otras personas.
Zerforschung le dijo a TechCrunch que descubrieron la vulnerabilidad en la forma en que la empresa configuró su base de datos, alojada en Firebase de Google, para almacenar datos. Los investigadores dijeron que la base de datos se configuró sin darse cuenta para permitir que cualquier persona en Internet acceda a los datos que contiene, incluidas las cookies de sesión para sus cuentas de Amazon desde la base de datos, que se pueden usar para acceder a una cuenta sin necesidad de contraseña.
Las cookies de sesión son pequeños fragmentos de código que se ubican en su computadora o dispositivo para mantener a los usuarios conectados a aplicaciones y sitios web sin tener que ingresar repetidamente una contraseña o iniciar sesión con factores de autenticación bidireccional. Dado que las cookies de sesión mantienen al usuario conectado, pueden ser un objetivo atractivo para los piratas informáticos porque pueden usarse para iniciar sesión como si fuera ese usuario. También puede dificultar la detección cuando alguien que no sea el usuario está abusando de una cookie de sesión.
Con estas cookies de sesión de Amazon, los investigadores de seguridad descubrieron que podían acceder a la cuenta de Amazon de Throne utilizada para ordenar y enviar regalos de la lista de deseos de un creador, sin necesidad de una sola palabra. Los investigadores dijeron que cualquier persona con las mismas cookies de sesión, efectivamente las claves de la cuenta de Amazon de Throne, podría iniciar sesión y ver miles de pedidos y los nombres y direcciones de sus creadores.
Zerforschung demostró el error durante una videollamada con TechCrunch la semana pasada, lo que nos permitió verificar sus hallazgos. Los investigadores nos mostraron los miles de pedidos realizados a través de la cuenta de Amazon de Throne en los últimos meses, lo que demuestra que los nombres y direcciones de los creadores que Throne afirmaba estar protegiendo estaban expuestos.
El colectivo de investigación informó el error a Throne más tarde ese mismo día. Throne corrigió el error poco después y confirmó la falla de seguridad en una entrada de blog lanzado esta semana, acreditando a Zerforschung por sus hallazgos.
«A fines de marzo, se envió una versión de Throne con reglas de Firestore configuradas incorrectamente. Esto permitió a los investigadores de seguridad leer algunos datos que no deberían haber estado disponibles, como direcciones IP bloqueadas que guardamos para la prevención de fraudes y cookies de sesión para un pequeño subconjunto de nuestras cuentas comerciales”, dijo Throne.
Pero quedan preguntas para la empresa. Throne dice que usó registros de red para determinar que «no había riesgo y ninguna parte desconocida accedió a ningún dato». Zerforschung cuestiona esta afirmación, ya que Throne no solicitó al colectivo sus direcciones IP que la empresa podría usar para investigar el incidente y excluir la actividad de los investigadores.
Los registros son importantes porque realizan un seguimiento de los eventos internos, como quién inicia sesión, desde dónde y cuándo. La lógica dicta que si los investigadores de seguridad como Zerforschung encontraron el error, es posible que los actores malintencionados también lo hayan descubierto. No está claro si alguien más accedió o filtró los datos de Throne, o si Throne tiene la capacidad técnica para determinar a qué datos, si los hubo, se accedió.
Throne también afirmó en su publicación de blog que un experto en privacidad de datos alemán anónimo «confirmó que no había riesgo para los datos», lo que no tiene sentido ya que Zerforschung demostró lo contrario.
Cuando se le contactó para hacer comentarios, el cofundador de Throne, Patrice Becker, reiteró gran parte de la publicación del blog de Throne en comentarios repetitivos, pero se negó a responder nuestras preguntas específicas o proporcionar el nombre del presunto experto en privacidad de datos de su publicación de blog.
Becker no cuestionó los hallazgos de Zerforschung ni la exposición de las direcciones de los hogares de los creadores cuando se le preguntó al respecto.