Publicidad
Motherboard

Sitio web de una comunidad stoner filtró 10 millones de chats

Conversaciones de un grupo de amantes de la marihuana quedaron disponibles en la red. A la DEA le gusta esto.

por Lorenzo Franceschi-Bicchierai
18 Mayo 2016, 10:52pm

Un sitio web que transmite por streaming películas para los entusiastas de la hierba y ofrece una plataforma para que los stoners puedan chatear mientras ven videos ha dejado más de 10 millones de mensajes expuestos, más de 44 mil usuarios expuestos en línea ante cualquiera.

"Es una mierda tener que comprarle a gente que no da mala vibra en la calle etc", escribió un usuario en uno de los mensajes, de acuerdo con Chris Vickery, el investigador de seguridad que encontró la base de datos.

"Porque ella me compra la hierba a mi", dijo otro.

Los datos quedaron expuestos en una base de datos de MongoDB mal configurada por parte de The Trees Network, un sitio que hace streaming 24/7 de películas sincronizadas en tiempo, ofreciendo a los "entusiastas del cannabis" una oportunidad de chatear mientras se dan un buen toque. La mañana de este miércoles, por ejemplo, el sitio pasó Mad Max, Men In Black y Shrek.

El sitio recomienda a los usuarios no discutir "dónde o cómo compran cannabis dentro del chat público", pero de acuerdo con una muestra de mensajes de chat que me envió Vickery, las discusiones sobre actividad potencialmente ilegal son comunes.

Una captura de pantalla de la base de datos filtrada. (Imagen: Chris Vickery)

Vickery, quien trabaja en MacKeeper, encontró los datos hace unos días, como explica en una publicación de blog liberada este miércoles. Reportó inmediatamente el problema al sitio, alarmando que era realmente sencillo rastrear usuarios, ya que cualquiera podría ver lo que dijeron los usuarios, así como sus direcciones IP correspondientes. Al respecto, Vickery señaló a Motherboard:

"El potencial de auto incriminación es enorme aquí. Estoy seguro que la DEA amaría minar los datos de esta filtración".

"10 por el gramo en Utah. Mientras más compras es más barato aquí", escribió un usuario.

Después de que Vickery reportara el problema del chat en línea, un administrador lo arregló rápidamente, de acuerdo con el investigador. Un vocero de The Trees Network confirmó que durante "un breve periodo" su base de datos estuvo "accesible públicamente", pero minimizó el accidente diciendo que todo el punto de este sitio es que los usuarios discutan públicamente asuntos relacionados con marihuana.

La base de datos también contenía contraseñas, pero éstas fueron cifradas con bcrypt, una función hash que se cree ser más complicada, aunque no imposible, de romper en comparación con otros tipos de encriptación.