Comunicado de seguridad

Diversos medios publicaron sobre la exposición de datos personales de las webs que gestionamos.

Primero de todo informar que ya ha sido solucionado. Siempre hemos cumplido con el reglamento conocido como RGPD (Reglamento europeo de protección de datos) y hemos seguido los protocolos recomendados para este tipo de situaciones.

En segundo lugar, queremos ampliar la información y poner en conocimiento público lo sucedido así como todas las acciones que hemos llevando a cabo en interés de nuestros usuarios:

  • El 100% de la información en la base de datos de nuestros sitios web se guarda cifrada y no es accesible.
  • Toda información de pago está 100% segura. Los pagos por tarjeta son procesados por un proveedor externo especializado, el cual por seguridad únicamente nos proporciona datos parciales de tarjeta y nombre que NO pueden usarse para realizar cargos.
  • Por precaución, hemos notificado a todos los usuarios de forma individual por email y hemos solicitado a algunos usuarios concretos que cambien su contraseña para poder volver a acceder.  Hemos puesto a disposición de éstos un equipo de soporte para resolver cualquier duda en relación al incidente.
  • Los datos que han sido expuestos son logs técnicos que se borran automáticamente y solo se usan para control técnico, calidad del servicio y resolver peticiones de ayuda de los usuarios.
  • Estos logs podrían contener información sensible ya que algunos usuarios publican información privada en los chats.
  • El número potencial de cuentas incluidas en estos logs es de unos 330.000 usuarios, de estos, la información potencialmente expuesta podría ser un email, dirección ip y user agent (NO su contraseña). 
  • La mayoría de casos que aparecen como contraseñas se tratan de intentos fallidos de acceso a la web y aparecen cifradas, nunca en texto plano.
  • Esos datos son los logs técnicos de un periodo de tiempo muy concreto de alrededor de 3 meses (entre el 24-05-2019 y el 04-09-2019).
  • Por un fallo técnico global se usaron varios servidores temporales para escribir logs técnicos. A esos servidores se les añadieron las políticas de firewall y protección del proveedor, pero no se llegaron a aplicar completamente por un fallo que aún estamos investigado.
  • Al ser una máquina temporal con logs técnicos, simplemente se dio de baja y está fuera de uso.
  • No se ha visto comprometida ninguna base de datos principal, solo unos logs técnicos temporales y por una empresa dedicada a descubrir este tipo de fallos escaneando servidores.
  • Nuestra plataforma no realiza perfilaje ni análisis de comportamiento por lo que esos logs no se usan, ni se han usado para dichos perfilajes ni análisis de comportamiento, aunque contienen información técnica sobre acciones realizadas por los usuarios como compra de videos que podrían relacionarse entre sí.
  • En un grupo reducido de camgirls, el 0,46%, y usuarios, el 0,54%, que ya han sido contactados, hemos hallado información sensible y datos personales dentro de estos logs, como por ejemplo información de contacto, nº ID y chats privados que contenían información intercambiada por ellos mismos.

En la actualidad nos consta que sólo la empresa que descubrió el fallo y sus colaboradores han tenido acceso a estos logs.

Agradecemos el aviso de Condition:Black y ya hemos tomado todas las medidas necesarias para evitar incidentes parecidos en el futuro.

Siguiendo el reglamento vigente hemos comunicado este incidente a la Agencia Española de Protección de Datos en beneficio de todos nuestros usuarios.

Ante cualquier duda o aclaración necesaria ponemos a disposición este email de contacto: privacy@vtsmedia.com