Comunicado de seguridad | VTS Media

Several media sources have recently revealed a data security breach in our websites.

In the first place, we would like to confirm that the incident has already been solved. We have always been compliant with the EU General Data Protection Regulation, so we have consequently followed the recommended protocols for this kind of situations.

Hereby, we would like to give further information of  the incident, clarify the episode and elaborate on the steps we have taken in our users’ interest:

  • 100% of the information in our websites’ database is stored in encrypted format and is not accessible to any third party.
  • All the payment information is totally secure. The card payments are processed by an external specialized provider, which for security reasons will only provide us with partial data on the card number and the card name, which can NOT be used to make payments.
  • As a measure of precaution, we have already got in touch with all the affected users via email, and some of them have already been requested to change their password in order to log in again. They can at any time get in touch with our support team, who will answer any further questions with regards to the incident.
  • The exposed data consists of technical logs which are automatically erased and are only used with control purposes, as well as to ensure the quality of our service and to solve any kind of requests from our users.
  • These logs might contain certain sensitive data, as some users public such information in their chats.
  • The potential number of accounts included in these logs might go up to approximately 330.000 users. Their potentially exposed information might be their email address, their IP address and their user agent (but NOT their passwords).
  • The security breach on these technical logs lasted from 24/05/2019 to 04/09/2019.
  • Due to a technical malfunction we used several temporary servers to store technical logs. We added the required firewall and provider’s protection policies to those servers, but these policies were never fully implemented due to a failure which we are currently investigating.
  • As it was just a temporary server with technical logs, we just opted for shutting it down and putting it out of use.
  • No main database has been jeopardized, only those temporary technical logs, and just by a data security company who discovered the brech.
  • These logs were not used, are not used and will never be used for any kind of behavior analysis or profiling, although they contain technical information on activities performed by the users, such as the purchase of videos, which could theoretically be used for such purposes. Our company, however, has never done that and will never do that.
  • We have found sensitive data (such as contact details, ID number, private chats with private information…) of a very reduced number of camgirls (0,46%) and users (0,54%). They have already been reached in private. 

As of today, and to the best of our knowledge, only the data security company that discovered the breach (and their associates) have accessed those technical logs.

We would like to thank Conditon:Black for informing us of the breach. We have already taken all the necessary steps to prevent such incidents from happening in the future.

According to the General Data Protection Regulation, we have already reported the incident to the Spanish Data Protection Agency (AEPD) in the interest of all our users.

In case of any doubt or in need of any further information, please write to the following email account: privacy@vtsmedia.com

Last modified: 11-11-2019

—————————————————————————————————

Diversos medios publicaron sobre la exposición de datos personales de las webs que gestionamos.

Primero de todo informar que ya ha sido solucionado. Siempre hemos cumplido con el reglamento conocido como RGPD (Reglamento europeo de protección de datos) y hemos seguido los protocolos recomendados para este tipo de situaciones.

En segundo lugar, queremos ampliar la información y poner en conocimiento público lo sucedido así como todas las acciones que hemos llevando a cabo en interés de nuestros usuarios:

  • El 100% de la información en la base de datos de nuestros sitios web se guarda cifrada y no es accesible.
  • Toda información de pago está 100% segura. Los pagos por tarjeta son procesados por un proveedor externo especializado, el cual por seguridad únicamente nos proporciona datos parciales de tarjeta y nombre que NO pueden usarse para realizar cargos.
  • Por precaución, hemos notificado a todos los usuarios de forma individual por email y hemos solicitado a algunos usuarios concretos que cambien su contraseña para poder volver a acceder.  Hemos puesto a disposición de éstos un equipo de soporte para resolver cualquier duda en relación al incidente.
  • Los datos que han sido expuestos son logs técnicos que se borran automáticamente y solo se usan para control técnico, calidad del servicio y resolver peticiones de ayuda de los usuarios.
  • Estos logs podrían contener información sensible ya que algunos usuarios publican información privada en los chats.
  • El número potencial de cuentas incluidas en estos logs es de unos 330.000 usuarios, de estos, la información potencialmente expuesta podría ser un email, dirección ip y user agent (NO su contraseña). 
  • La mayoría de casos que aparecen como contraseñas se tratan de intentos fallidos de acceso a la web y aparecen cifradas, nunca en texto plano.
  • Esos datos son los logs técnicos de un periodo de tiempo muy concreto de alrededor de 3 meses (entre el 24-05-2019 y el 04-09-2019).
  • Por un fallo técnico global se usaron varios servidores temporales para escribir logs técnicos. A esos servidores se les añadieron las políticas de firewall y protección del proveedor, pero no se llegaron a aplicar completamente por un fallo que aún estamos investigado.
  • Al ser una máquina temporal con logs técnicos, simplemente se dio de baja y está fuera de uso.
  • No se ha visto comprometida ninguna base de datos principal, solo unos logs técnicos temporales y por una empresa dedicada a descubrir este tipo de fallos escaneando servidores.
  • Nuestra plataforma no realiza perfilaje ni análisis de comportamiento por lo que esos logs no se usan, ni se han usado para dichos perfilajes ni análisis de comportamiento, aunque contienen información técnica sobre acciones realizadas por los usuarios como compra de videos que podrían relacionarse entre sí.
  • En un grupo reducido de camgirls, el 0,46%, y usuarios, el 0,54%, que ya han sido contactados, hemos hallado información sensible y datos personales dentro de estos logs, como por ejemplo información de contacto, nº ID y chats privados que contenían información intercambiada por ellos mismos.

En la actualidad nos consta que sólo la empresa que descubrió el fallo y sus colaboradores han tenido acceso a estos logs.

Agradecemos el aviso de Condition:Black y ya hemos tomado todas las medidas necesarias para evitar incidentes parecidos en el futuro.

Siguiendo el reglamento vigente hemos comunicado este incidente a la Agencia Española de Protección de Datos en beneficio de todos nuestros usuarios.

Ante cualquier duda o aclaración necesaria ponemos a disposición este email de contacto: privacy@vtsmedia.com

Última modificación: 11-11-2019