Filtración de datos de gimnasio en USA expone información personal y fotos sensibles de clientes y entrenadores

V Shred, cadena de gimnasios, sufrió una violación masiva de datos debido a una base de datos mal configurada en Amazon que dejó datos personales confidenciales y fotos de 100,000 clientes abiertos al público.

El paquete S3 contenía más de 1.3 millones de archivos individuales, según vpnMentor, quien descubrió la filtración el 14 de mayo. Sin embargo, V Shred tardó casi un mes en desactivar el acceso a los archivos. VpnMentor informó que la compañía eliminó información personal, pero dejó otros archivos accesibles públicamente.

La fuga fue descubierta el 14 de mayo, y contenía originalmente 1.3 millones de archivos, con un total de 606GB de datos. Los archivos se subdividen en tres; uno que parecía ser una lista de generación de leads, otro que correspondía a una lista de correo electrónico de clientes y una lista de personal trainers.

Combinados, los archivos contenían nombres, domicilios, direcciones de correo electrónico, fechas de nacimiento, algunos números de Seguro Social, detalles de cuentas de redes sociales, nombres de usuario y contraseñas, rangos de edad, géneros y estado de ciudadanía, entre otros datos.

Cabe destacar que uno de los archivos (CSV), y el mayor tamaño (180 MB), contenía información personal de decenas de miles de personas. Se incluían identificaciones, nombres y apellidos, direcciones de correo electrónico, géneros y direcciones de correo electrónico de clientes.

Por lo demás, la base de datos incluía otra información, como detalles sobre 52 entrenadores, planes de comidas, fotos de perfil y fotos del cuerpo antes y después de algunos clientes, algunas de las cuales podrían considerarse sensibles.

V Shred indicaron en una declaración que el contenedor solo se usaba para almacenar activos web, CSS y archivos multimedia.