Jelentés: Adatsértés a felnőtt webhelyen, minden felhasználó adatvédelmét veszélyezteti


Noam Rotem és Ran Locar vezetésével a vpnMentor kutatócsoportja felfedezte a adatsértés felnőtt webhelyen. Luscious.

A Luscious egy pornográf fülke, amely elsősorban animációra koncentrál, felhasználó által feltöltött tartalom. Csapatunk által végzett kutatás alapján a webhely rendelkezik több mint 1 millió regisztrált felhasználó. Minden felhasználónak van egy profilja, amelynek részleteire kutatásainkkal hozzáférhetünk. 

A privát profilok lehetővé teszik a felhasználók számára, hogy tartalmaikat feltöltsék, megosszák, kommentálják és megbeszéljék a Luscious oldalon. Mindezt érthetően közben megteszik személyazonosságának a felhasználónevek mögött rejtve tartása.

Az adatsértés csapata felfedezte veszélyezteti ezt a névtelenséget a hackerek potenciális engedélyezésével hozzáférhet a felhasználók személyes adataihoz, beleértve a személyes e-mail címüket. A Luscious tartalma rendkívül érzékeny és magán jellegű a felhasználók hihetetlenül érzékenyek a támadások és a kizsákmányolások széles skálájára rosszindulatú hackerek által.

A felfedezés ütemterve és a tulajdonos reakciója

  • A felfedezés dátuma: 19/08/08
  • A kapcsolatfelvétel dátuma: 19/08/16

Példa az adatbázis bejegyzéseire

Az adatok megsértése megkapta a csapatot hozzáférés 1,195 millió felhasználói fiókhoz a Luscious-on. Mindezeket veszélyeztette, feltárva a felhasználók személyes adatait potenciálisan pusztító következményekkel járhat. 

Az általunk megtekintett magán személyes felhasználói adatok a következőket tartalmazzák:

  • A felhasználónevek
  • Személyes e-mail címek
  • Felhasználói tevékenységi naplók (csatlakozás dátuma, legutóbbi bejelentkezés)
  • Lakó ország / hely
  • nem

Néhány felhasználó Az e-mail címek feltüntették a teljes nevüket, ezáltal fokozva a sebezhetőséget a kizsákmányoláshoz és a számítógépes bűnözéshez.

Érdemes megemlíteni ezt becsléseink szerint a Luscious fiókok e-mailjeinek 20% -a hamis e-mail címeket használ fel a regisztrációhoz. Ez arra utal néhány Luscious felhasználó aktívan járul hozzá további lépésekhez névtelen maradni. 

Felhasználói viselkedés & Tevékenységek

Az adatsértés is adta a felhasználói tevékenységek teljes áttekintése. Ez lehetővé tette számunkra a következő dolgok megtekintését:

  • Az általuk létrehozott képalbumok száma
  • Videó feltöltése 
  • Hozzászólások 
  • Blogbejegyzések
  • Érdekes
  • Követők és beszámolók követtek
  • Felhasználói azonosító számuk - így tudjuk, hogy aktívak-e vagy tiltottak-e őket

Noha ezen információk egy része más felhasználók számára is látható, nagy részét elrejtették a weboldal adatbázisában. Mindez az összesített információ értékes betekintést nyer abban, hogy az emberek hogyan használják a Luscious-ot.

Csapatunk is megnézte a Luscious oldalon közzétett blogbejegyzések és tartalom részletei. Ez magában foglalta a szerző adatait, valamint a közzétett tetszés számát, kategóriát stb.

Ezek közül pár a blogbejegyzések rendkívül személyesek voltak - beleértve a depressziós vagy egyéb módon sebezhető tartalmat -, és anonimként tartják fenn. Ezen adatsértés miatt azonban, a blogbejegyzések már nem anonimak, a szerzők sokaságát feltárják. 

Hasonlóképpen, a Luscious-hez feltöltött képekhez hozzáférést kaptunk a képek indexéhez, amelyen részletes információk találhatók, beleértve azt is, hogy ki készítette őket.

Jelentés: Adatsértés a felnőtt webhelyen, minden felhasználó adatvédelmét veszélyezteti

Az 1 millió + érintett felhasználó található szerte a világon, és helyüket is felfedték a jogsértésben. Kutatásunk során hozzáférést tudtunk elérni Európából, Ázsiából, Ausztráliából és az Amerikából származó felhasználói profilokhoz. 

Például kb. 13 000 e-mail címet találtunk a .fr-ben, ami az adatbázis kb. 1,25% -át képviseli. Figyelembe véve a francia embereket, akik e-mail tárolást használnak, mint például a Gmail - a .com végződéssel, és a francia nevek alapján, amelyeket a @ gmail.com címen láttunk- becsléseink szerint a francia felhasználók tényleges száma körülbelül háromszor nagyobb: kb. 40 000.

Az alábbiakban egy táblázat mutat be a Luscious felhasználók nemzetközi eloszlását az e-mail címek és a valós számok becslései alapján, figyelembe véve a Gmail-fiókokat és a hasonló webes statisztikákat.

 Ország A felhasználók becslése a DB-ben található e-mail címek alapján
 Franciaország   40.000
 Hollandia  8000
 Svédország  6000
 Németország  50.000
 Spanyolország  7000
 Oroszország  35.000
 Izrael  1000
 Olaszország  18.000
 Brazília  10.000
 Kanada  15.000
 Ausztrália  5000
 Lengyelország  20.000
 Japán  6000
 India  6000

Nagyobb aggodalomra ad okot az a tény, hogy sok felhasználó csatlakozott a Luscioushez hivatalos kormányzati e-mailekben. Erre példákat találtunk Brazília, Ausztrália, Olaszország, Malajzia és Ausztrália felhasználóitól. 

Tartomány A felhasználók becslése a DB-ben található e-mail címek alapján
.edu  Kevesebb mint ezer
.gov  tucatnyi

Ez nagyon sok további anyagot jelent sebezhetőség nemcsak a felhasználók, hanem a munkáltatóik előtt is. Hozzáférés a munkavállalói e-mail címekhez, A bűnözői hackerek számos módon megcélozhatják a kormányzati ügynökségeket és szervezeti egységeket.

Az adatok megsértésének hatása

Az adatok megsértésének a felhasználókra gyakorolt ​​hatása lehet pusztító, személyesen és pénzügyi szempontból is. Tevékenység olyan felnőtt oldalakon, mint a Luscious a legtöbb magán jellegű, és senki sem várja el annak feltárását.  

Az expozíció lehet tönkrement az áldozatok kapcsolatai és a személyes élet szempontjából. 

A Luscious adatbázisaiban elérhetővé tett információk bűncselekmények és rosszindulatú hackerek számára számos lehetőséget kínál az adatok tiltott haszonszerzésre és a felhasználók kizsákmányolására. 

Doxing

A doxing az internetes nyomozás cselekedetére utal a felhasználó személyazonossága és nyilvánosságra hozatala, általában rosszindulatú szándékkal. A zamatos felhasználók e-mail címeire és helyére való hozzáféréssel a hackerek könnyen elérhetők keresse meg profilját a közösségi médiában és hasonló webhelyek. 

Ezen információkkal, egy zamatos felhasználót annak kockázata fenyegeti, hogy nyilvános expozícióval jár a weboldalon folytatott tevékenysége miatt. Lehetnek zaklatásra, zaklatásra, vagy a részletek megosztására irányulnak családjával, barátaival és munkáltatóival. 

Tekintettel a tartalom Luscious jellegére, egy ilyen kampány hatásai pusztítóak lehetnek. 

Zsarolás

Ha egy zamatos felhasználó személyazonossága sérül, akkor nemcsak a zaklatás célját célozzák meg. A hackerek azzal fenyegethetnek, hogy felfedik a felhasználókat, ha nem fizetnek váltságdíjat. Az adatok megsértésének érzékeny jellege miatt az áldozatok hihetetlenül kiszolgáltatottak és valószínűleg fizetnek. 

azonban, a váltságdíj fizetése nem garantálja, hogy adatait mindenesetre nem fogják feltárni. Miután ezeket az adatokat ellopták, megteszi újra és újra felhasználható és eladható. Ez nyitva hagyja a felhasználókat folyamatos zsarolás egy hackertől, amelyek potenciálisak az Luscious számára olyan tevékenységet, amelyet még egy másik személy kiszivárogtathat.

Adathalászat

Az adathalászat a az áldozatoknak küldött utánzó e-mailek, hogy becsapják őket jelszavak vagy egyéb kompromittáló információk szolgáltatására, pénzügyi számlákhoz vagy hitelkártyákhoz való hozzáférés biztosításához, valamint a kártékony programok beágyazásához az eszközre. 

A hackerek vagy a számítógépes bűnözők e-mailt küldnek a célpontoknak olyan legitim vállalkozásnak vagy szervezetnek tűnik, amelyet az áldozat már használ, a kívánt információ kinyerésére vagy növényi malware-re. 

Olyan személyes adatok feltárásával, mint az e-mail címek és a hely, a zamatos adatsértés segít a bűnözőknek a felhasználókat célba venni a jövőbeni kizsákmányolás, csalás vagy lopás céljából. Ezt az információt felhasználhatják hatékony csalárd e-maileket hozhat létre és elküldheti őket közvetlenül a felhasználó e-mail postafiókjába - ily módon kiemelkednek a spam és a levélszemét között is.

Versenytársak fellépései

Ez az adat megsértése is Luscious-t sebezhetővé teszi. Ha több mint 1 millió felhasználója van és havonta több mint 20 millió látogatása van, ez az a piacán vezető webhely. Ez kétségtelenül nagyon jövedelmező is. 

A magáninformációkkal most kiderült, A zamatos versenytársak szintén elemezhetik a felhasználói viselkedést - kedvenceik, mit szeretnek, hogyan lépnek kapcsolatba más felhasználókkal - és jobb alternatívákkal célozza meg őket. Az online vállalkozások általában ezt az információt biztonságosan rejtik el hatalmas kockázatot jelent az üzleti modell és a bevétel szempontjából.

A szakértők tanácsai

Ezt az adatszivárgást könnyen el lehetett volna kerülni ha Luscious elvitt volna valamit alapvető biztonsági intézkedések. Ezeket bármilyen vállalat megismételheti, méretétől függetlenül:

  1. Biztosítsa szervereit.
  2. Végezzen el megfelelő hozzáférési szabályokat.
  3. Soha ne hagyja az Internet számára nyitva egy olyan rendszert, amely nem igényel hitelesítést.

Felhasználók számára

Azt javasoljuk azonnal módosítsa a Luscious számla adatait, beleértve a felhasználónevet és a kapcsolódó e-mail címet.  

Felnőtt témájú weboldalak, vagy bármilyen más érzékeny weboldal esetén mindig hozzon létre egy felhasználónevet, amely teljesen független a személyes e-mail címétől vagy bármely más online fiók. 

Ha felfedte a Luscious helyét, távolítsa el ezt a részletet a profiljából. Te is módosítsa a helyét egy VPN segítségével.

Ha többet szeretne megtudni az internetes adatvédelemről, valamint arról, hogyan lehet elkerülni az ilyen adatsértéseket az életében és üzleti életében, olvassa el az online adatvédelem teljes útmutatóját..

Hogyan és miért fedeztük fel a jogsértést

A vpnMentor kutatócsoport egy hatalmas web-térképészeti projekt részeként fedezte fel a megsértést a Luscious adatbázisaiban. Hackereink portok letapogatásával használják az egyes IP blokkok vizsgálatát és a rendszerek nyitott lyukainak tesztelését gyengeségek szempontjából. Megvizsgálják az egyes lyukakat az adatok szivárgása szempontjából. 

Amikor adatsértést találnak, akkor szakértői technikákkal ellenőrizze az adatbázis azonosságát. Mi akkor figyelmeztesse a társaságot a jogsértésig. Ha lehetséges, figyelmeztetjük azokat is, akiket a jogsértés sújt.

Csapatunk hozzáférést tudott elérni ehhez az adatbázishoz, mert teljesen nem volt biztonságban és titkosítatlan. 

A vállalat Elasticsearch adatbázist használ, amelyet általában nem URL-címre terveztek. A böngészőn keresztül azonban elérhetjük és manipulálhatjuk az URL keresési kritériumait, hogy a sémákat egyetlen indexből bármikor feltárhassuk.. 

Ennek a webes térképezési projektnek a célja hozzájárul az internet biztonságosabbá tételéhez minden felhasználó számára. 

Etikai hackerekként kötelesek vagyunk tájékoztatni egy társaságot amikor hibákat fedezünk fel az online biztonságban. Ez különösen igaz, ha a vállalatok adatsértése ilyen személyes információkat tartalmaz.

Ez az etika azonban azt is jelenti, hogy felelősséget vállalunk a nyilvánosság előtt. A zavaros felhasználóknak tisztában kell lenniük az adatsértésekkel, amelyek őket is érintik.

Rólunk és korábbi jelentések

vpnMentor a világ legnagyobb VPN-áttekintő webhelye. Kutatólaboratóriumunk egy pro bono szolgáltatás, amely arra törekszik, hogy segítse az online közösséget abban, hogy megvédje magát az internetes fenyegetésekkel szemben, miközben a szervezeteket felhívja a felhasználói adatok védelmére. Nemrég felfedeztünk egy hatalmas adatsértést, amely 80 millió amerikai háztartást érint. Azt is kiderült, hogy a Biostar 2 megsértése több mint egymillió ember biometrikus adatait veszélyeztette. Érdemes elolvasni a VPN szivárgás jelentését és az adatvédelmi statisztikák jelentését is.

Brayan Jackson
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me