Secondo i ricercatori, un bucket di archiviazione cloud configurato in modo errato ha esposto i dettagli personali di centinaia di influencer dei social media, mettendoli potenzialmente a rischio di frodi e molestie.
Un team di vpnMentor ha scoperto il bucket AWS S3 completamente aperto senza crittografia o protezione tramite password, all’inizio di novembre. Apparentemente l’azione deve ancora essere intrapresa dalla società responsabile, 21 Buttons, società di “commercio social” con sede a Barcellona.
Per ottenere una commissione, gli influencer caricano le loro foto sull’app dell’azienda e si collegano ai negozi di e-commerce dove gli utenti possono acquistare i vestiti che indossano.
Secondo vpnMentor, l’azienda ha circa due milioni di utenti attivi mensilmente e partnership con molti dei più grandi marchi in Europa.
Tra i 50 milioni di file esposti, che erano principalmente foto e video di influencer, il team di ricerca ha scoperto centinaia di fatture che si dice si riferissero a pagamenti effettuati a queste star dei social media.
Tra le informazioni di identificazione personale (PII) esposte c’erano nomi completi, codici postali, dettagli bancari, numeri di identificazione nazionale, indirizzo e-mail PayPal e valore delle commissioni di vendita.
Tra i soggetti coinvolti nella fuga di dati si includevano Carlota Weber Mazuecos, Freddy Cousin Brown, Marion Caravano, Irsa Saleem e Danielle Metz, influencer che tra loro hanno milioni di follower sul sito.
Il team di vpnMentor ha avvertito che se i criminali informatici si impossessano delle PII, le vittime potrebbero essere esposte a truffe di phishing successive progettate per ottenere più dettagli bancari e della carta, frode d’identità e stalking.
“Se qualcuno condividesse pubblicamente le fatture, i cattivi attori avrebbero molto materiale per identificare eventuali account privati detenuti da influencer, così come le loro case e i luoghi di lavoro“, ha affermato.
“Questo non solo rende le persone colpite vulnerabili al phishing e alle frodi. Sono anche a rischio di violazione della privacy, doxing, stalking e molestie, sia online che offline“.