Rallyhood dice que es “privado y seguro”. Pero durante algún tiempo, no lo fue.
La red social diseñada para ayudar a los grupos a comunicarse y coordinarse dejó abierto y expuesto uno de sus cubos de almacenamiento en la nube que contenía los datos de los usuarios. El depósito, alojado en Amazon Web Services (AWS), no estaba protegido con una contraseña, lo que permitía que cualquier persona que conociera la dirección web fácil de adivinar tuviera acceso a los archivos de usuario de una década.
Rallyhood cuenta con usuarios de las tropas de Girl Scouts y Boy Scouts, y las facciones Komen, Habitat for Humanities y YMCA. La empresa también alberga a miles de grupos más pequeños, como bandas locales, equipos deportivos, clubes de arte y comités organizadores. Muchos acudieron en masa al sitio después de que Rallyhood dijera que ayudaría a migrar a los usuarios de Yahoo Groups después de que Verizon (que también es propietaria de TechCrunch) dijera que cerraría el sitio del foro de discusión el año pasado.
El cubo contenía datos de grupo desde 2011 hasta el mes pasado inclusive. En total, el depósito contenía 4,1 terabytes de archivos cargados, lo que representa millones de archivos de usuarios.
Algunos de los archivos que revisamos contenían datos confidenciales, como listas de contraseñas compartidas y contratos u otros permisos y acuerdos. Los documentos también incluían acuerdos de confidencialidad y otros archivos que no estaban destinados a ser públicos.
Cuando pudimos identificar la información de contacto de los usuarios cuya información estuvo expuesta, TechCrunch se acercó para verificar la autenticidad de los datos.
Un investigador de seguridad que va por el mango Eterno encontró el depósito expuesto e informó a TechCrunch para que el depósito y sus archivos pudieran protegerse.
Cuando se le contactó, el director de tecnología de Rallyhood, Chris Alderson, afirmó inicialmente que el cubo era para “probar” y que todos los datos del usuario se almacenaban “en un cubo altamente seguro”, pero luego admitió que durante un proyecto de migración, “hubo un breve período”. cuando los permisos se dejaron abiertos por error”.
No se sabe si Rallyhood planea advertir a sus usuarios y clientes sobre el lapso de seguridad. Al momento de escribir este artículo, Rallyhood no ha hecho ninguna declaración sobre el incidente en su sitio web ni en ninguno de sus perfiles de redes sociales.