Jelentés: A VEED.io magán felhasználói videókat tesz közzé az adatszivárgásban


A vpnMentor kutatócsoportja, a híres elemzők, Noam Rotem és Ran Locar vezetésével, a közelmúltban fedezte fel biztonsági rés a VEED.io videószerkesztő platformhoz tartozó adatbázisban.

A londoni székhelyű VEED eszközöket nyújt a felhasználók számára tölts fel videókat, és optimalizáld őket a megosztáshoz a közösségi médiában. Több mint 50 000 világméretű felhasználó, ügyfélkörük alkotókat, befolyásolókat és vállalati vállalkozásokat foglal magában, és rendszeres közösségi média felhasználók. 

A megsértett adatbázis veszélyeztette minden VEED felhasználó magánéletét, és a platformra feltöltött összes tartalmat annak nyers, szerkesztés nélküli formájában tette ki. Ez magában foglalta a nagyon érzékeny magán videókat. 

A felfedezés ütemterve és a tulajdonos reakciója

Időnként az adatsértés mértéke és az adatbázis tulajdonosa nyilvánvaló, és a probléma gyorsan megoldódott. De ritka ezekben az időkben. Leggyakrabban napokra kell nyomozni, mielőtt megértjük, mi a kockán vagy ki szivárogtatja az adatokat.

A jogsértés és annak lehetséges hatásainak megértése gondos figyelmet és időt igényel. Csapatunknak alaposnak kell lennie, és ügyelnie kell arra, hogy minden, amit találtunk, helyes és valós. Időnként az érintett felek tagadják a tényeket, figyelmen kívül hagyva a kutatásunkat vagy a játék hatását. 

Szerencsére ezúttal a csapat gyorsan azonosította a VEED-t az adatok tulajdonosaként. Az Amazon Web Services (AWS) -ben üzemeltetett adatbázis S3 Bucket volt - az AWS-en tárolás általános formája.. 

Felhívtuk a kapcsolatot a társasággal, hogy figyelmeztessük őket a sebezhetőségre, azonban sok héttel később kaptunk választ. Időközben közvetlenül kapcsolatba léptünk az AWS-vel is, hogy értesítsük őket a problémáról. Amint az AWS felvette a VEED-t, a jogsértést megszüntették. 

  • A felfedezés dátuma: 12/10
  • A dátum felkeresése a szállítókkal: 15/10
  • Az AWS-vel való kapcsolatfelvétel dátuma: 27/10
  • Az AWS válaszának dátuma: 29/10
  • A fellépés dátuma: Kb. 05/11
  • A VEED válaszának dátuma: 21/11/19

Példa az adatbázis bejegyzéseire

Az AWS vödör 10 000 videókat tartalmazott nyers és szerkesztett formában is. Ezek voltak amelyet a VEED felhasználók töltöttek fel a világ minden tájáról, és marketing anyagokat, családi videókat és még otthoni pornográfiát is tartalmaztak. 

Ez is Lehetséges, hogy néhány videó illegális tartalom különféle formáit tartalmazta.

Kutatóink voltak hozzáférhető és megtekintheti a VEED-hez feltöltött tartalmakat, függetlenül attól, hogy magán- vagy nyilvános megtekintésre készült-e. 

Az adatok megsértésének hatása

Ez az adatsértés jelenti a VEED alapvető biztonsági protokolljának súlyos megszűnése. A felhasználó által generált tartalom teljes adatbázisának feltárásával kockáztatta ügyfeleik és az egész üzlet magánéletét. 

Az adatbiztonság minden internetes felhasználó számára egyre növekvő aggodalomra ad okot függetlenül attól, hogy melyik webhelyet, eszközt vagy platformot használják. A VEED-et marketing és promóciós célokra használó vállalkozásokat az érdekli a magántartalom a nyilvánosságra hozás előtt nyitva állt, ami potenciálisan az ügyfelek elvesztéséhez vagy a vállalati jogi lépésekhez vezethet.

Hasonlóképpen, ha néhány videó illegális tartalmat tartalmaz, ez megteheti A VEED felelős a jogi lépésekért. 

Az egyes felhasználók számára a feltárt adatbázis személyesen veszélyeztette őket. Nem volt világos, mely videófájlokat szánták magánfelhasználásra, és melyeket töltötték fel a közösségi médiába. 

Vegyük például, a pornográf anyag. 

E videók készítői számára indokolatlanul kellemetlen lenne, ha a nyilvánosság számára hozzáférhetővé válnának. Ez sokkal komolyabb, mint az esetlegesen kínos: a privát, intim, otthoni pornográfia értékes eszköz a zsarolás és a zsarolás szempontjából. 

A bűnözők és a rosszindulatú hackerek ezeket a videókat alkotóik ellen tudták különféle módon megcélozni őket, romos következményekkel, személyesen és pénzügyi szempontból.

A szakértők tanácsai

A VEED könnyen elkerülhette ezt a szivárgást, ha valamilyen alapvető biztonsági intézkedést megtettek volna az S3 vödör védelme érdekében. Bármely cég megismételheti a következő lépéseket, méretétől függetlenül:

  1. Biztosítsa szervereit.
  2. Végezzen el megfelelő hozzáférési szabályokat.
  3. Soha ne hagyja az Internet számára nyitva egy olyan rendszert, amely nem igényel hitelesítést.

Még részletesebb útmutatást kaphat arról, hogyan kell megvédeni vállalkozását, olvassa el weboldalunkat és online adatbázisunkat a hackerektől történő védelmére vonatkozó útmutatót..

VEED számára felhasználók

A legtöbb adatszivárgással ellentétben felfedezzük és elemezzük, a fiók bejelentkezési adatainak megváltoztatása itt nem változtat. A szivárgásnak kitett videotartalom, amelyet a VEED-hez töltöttek fel anélkül, hogy a felhasználó hozzáférési adatait kellene kérnie a felhasználó bejelentkezési adataival.

Emiatt, a VEED feladata, hogy megszüntesse a jogsértést és megvédje a videókat a felekkel szemben. 

Ha VEED felhasználó vagy, és aggódik amiatt, hogy ez a jogsértés miként érintheti Önt, lépjen kapcsolatba velük, és kérdezze meg, hogy milyen lépéseket tesz. 

Tudjon meg többet az adat sebezhetőségéről és arról, hogyan lehet megvédeni a szivárgást, olvassa el az online adatvédelem teljes útmutatója.

Megmutatja, hogy a számítógépes bűnözők milyen módon célozzák meg az internetes felhasználókat, és a biztonság megőrzéséhez szükséges lépéseket.

Hogyan és miért fedeztük fel a jogsértést

A vpnMentor kutatócsoport a VEED adatbázisaiban felfedezte a jogsértést egy hatalmas webes térképezési projekt. Hackereink portok letapogatásával használják az egyes IP blokkok vizsgálatát és a rendszerek nyitott lyukainak tesztelését gyengeségek szempontjából. Megvizsgálják az egyes lyukakat az adatok szivárgása szempontjából. 

Amikor adatmegsértést találnak, szakértői technikákat alkalmaznak az adatbázis azonosságának ellenőrzésére. Ezután figyelmeztetjük a társaságot a jogsértésre. Ha lehetséges, figyelmeztetjük azokat is, akiket a jogsértés sújt.

A VEED egy nyílt S3 Bucket adatbázist használt az AWS-en, amelyet még nem biztosítottak megfelelően. Míg az AWS eszközöket biztosít a vödrök rögzítéséhez, elérhetetlenné téve azokat a külső felek számára, az ügyfelek feladata, hogy ezeket használják. 

Azért tudtunk hozzáférni a VEED S3 vödörjéhez teljesen nem volt titkosítva és titkosítva. A csoport egy webböngésző segítségével hozzáférhet az adatbázisban tárolt összes fájlhoz.

Ennek a webes térképezési projektnek az a célja, hogy elősegítse az internet biztonságosabbá tételét minden felhasználó számára. 

Etikai hackerekként, kötelesek vagyunk egy társaságot értesíteni amikor hibákat fedezünk fel az online biztonságban. Ez különösen igaz, ha a vállalat adatsértése ilyen érzékeny és káros információkat tartalmaz.

Ez az etika is jelent felelősséget vállalunk a nyilvánosság előtt. A VEED felhasználóknak tisztában kell lenniük az őket érintő adatsértéssel.

Rólunk és korábbi jelentések

vpnMentor a világ legnagyobb VPN-áttekintő webhelye. Kutatólaboratóriumunk egy pro bono szolgáltatás, amelynek célja, hogy segítse az online közösséget abban, hogy megvédje magát az internetes fenyegetésekkel szemben, miközben a szervezeteket oktatja felhasználói adatok védelméről.. 

Nemrég felfedeztünk egy hatalmas adatsértést, amely 80 millió amerikai háztartást érint. Azt is kiderült, hogy a Biostar 2 megsértése több mint egymillió ember biometrikus adatait veszélyeztette. Érdemes elolvasni a VPN szivárgás jelentését és az adatvédelmi statisztikák jelentését is.

Brayan Jackson
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me