Cameo, una aplicación popular que te permite pagar a celebridades para que graben videos cortos de agradecimiento para ti, está plagada de fallas de seguridad que los clientes del servicio y los usuarios famosos probablemente no conocen.

Según un informe de Vicio, Cameo ha expuesto una suma de datos de usuario debido a una "mala configuración" en su aplicación. La información comprometida incluye los correos electrónicos del cliente y los mensajes dentro de la aplicación. Supuestamente, también se revelan contraseñas y números de teléfono con hash y sal.

  • Estos son los mejores administradores de contraseñas
  • Solo en:Samsung Galaxy Note 20 podría lucir esta sorpresa que supera al iPhone

En el lado de las celebridades del negocio de Cameo, un investigador le dijo a Vice que descubrieron que los videos de Cameo que están destinados a ser privados en realidad pueden ser encontrados y descargados por cualquier persona en la aplicación.

Motherboard, la tecnología vertical de Vice, incluso escribió un código capaz de identificar videos privados filmados por gente como el rapero Snoop Dogg y el comediante Michael Rapaport. Todos estos videos "privados" eran, de hecho, accesibles.

Parece que las transacciones de Cameo están diseñadas para ser lo más simples posible, y se basan en enlaces básicos que se pueden enviar para cumplir con las solicitudes. Cualquiera que tenga un enlace para videos de Cameo pendientes puede modificar de qué se le pide que hable a la celebridad elegida, o incluso cancelar la solicitud.

El editor en jefe de Motherboard, Jason Koebler, solicitó un video de Cameo al comediante Gilbert Gottfried para verificar sus hallazgos. Koebler configuró el video como privado, sin embargo, un escritor del personal de la placa madre pudo ver el mensaje de Gottfried (que se refiere intencionalmente a la ciberseguridad) y descargarlo.

Se vuelve más esquemático. Cameo aloja su política de privacidad en un documento de Google, mientras que los creadores de Cameo usan una aplicación de mensajería llamada Telegram para enviar videos completos.

El investigador que habló con Vice dijo que el código de la aplicación incluye credenciales que permiten a cualquiera acceder a la infraestructura de backend de Cameo y acceder a los datos del usuario. Motherboard cree que estas credenciales pueden haber estado expuestas durante dos años.

Problema de cameo 'solucionado rápidamente'

Desde entonces, Cameo ha reconocido el miedo a la seguridad de los datos. La compañía dijo que "solucionó rápidamente el problema" y no encontró evidencia de que nadie más que el investigador hubiera utilizado la vulnerabilidad.

Como medida de seguridad, cualquier persona que tenga una cuenta de Cameo debe cambiar su contraseña. El hecho de que Cameo obtenga hash y salte las contraseñas (es decir, las almacene de forma cifrada en sus servidores) no significa que sus credenciales estén seguras.

Dada la peligrosa infraestructura mencionada anteriormente, es ciertamente posible que la empresa utilice un algoritmo de hash de contraseña obsoleto o débil.

En cuanto a la cuestión de los videos privados, Cameo aclaró sus políticas: "Un Cameo se clasifica como 'privado' pertenece a un Cameo específico que no se publica en la plataforma Cameo (es decir, los perfiles del talento u otros páginas).

"Cameo fue diseñado para que la gente regale y comparta videos personalizados de su talento favorito entre amigos y familiares. Tanto los cameos públicos como los privados están destinados a ser compartidos socialmente ".

Obtenga acceso instantáneo a noticias de última hora, las mejores críticas, grandes ofertas y consejos útiles.

Gracias por registrarse en Tom's Guide. Recibirá un correo electrónico de verificación en breve.

Había un problema. Actualice la página y vuelva a intentarlo.

Sin spam, lo prometemos. Puede darse de baja en cualquier momento y nunca compartiremos sus datos sin su permiso.