Отчет: нарушение данных на сайте для взрослых нарушает конфиденциальность всех пользователей

Исследовательская группа vpnMentor под руководством Ноама Ротема и Ран Локара обнаружила взлом данных на сайте для взрослых Luscious.

Сочная ниша порнографического сайта изображения сосредоточены главным образом на анимированный, Пользовательский контент. На основании исследований, проведенных нашей командой, сайт имеет более 1 миллиона зарегистрированных пользователей. У каждого пользователя есть свой профиль, детали которого можно найти в нашем исследовании.. 

Частные профили позволяют пользователям загружать, делиться, комментировать и обсуждать контент на Luscious. Все это по понятным причинам сделано в то время как сохраняя свою личность скрытой за именами пользователей.

Нарушение данных, обнаруженное нашей командой ставит под угрозу эту анонимность потенциально позволяя хакерам получить доступ к личным данным пользователей, включая их личный адрес электронной почты. Очень чувствительный и приватный характер контента Luscious делает пользователи невероятно уязвимы для целого ряда атак и эксплуатации злоумышленниками.

Хронология открытия и реакции владельца

  • Дата открытия: 15/08/19
  • Дата обращения владельца: 16/08/19

Пример записей в базе данных

Нарушение данных дало наша команда доступ к 1,195 миллионам учетных записей на сочной. Все они были скомпрометированы, раскрывая личные данные пользователей с потенциально разрушительные последствия. 

Частные личные данные пользователя, которые мы просмотрели, включали:

  • Usernames
  • Личные адреса электронной почты
  • Журналы активности пользователя (дата присоединения, последний вход в систему)
  • Страна проживания / местонахождение
  • Пол

Некоторые пользователи адреса электронной почты указали свои полные имена, увеличивая их уязвимость к эксплуатации и киберпреступности.

Стоит отметить, что по нашим оценкам, 20% писем на аккаунтах Luscious используют поддельные адреса электронной почты для регистрации. Это говорит о том, что некоторые пользователи Luscious активно предпринимают дополнительные шаги оставаться анонимным. 

Поведение пользователя & мероприятия

Нарушение данных также дало полный обзор действий пользователя. Это позволило нам увидеть такие вещи, как:

  • Количество созданных ими графических альбомов
  • Загрузка видео 
  • Комментарии 
  • Сообщения в блоге
  • Избранные
  • Подписчики и аккаунты следуют
  • Идентификационный номер пользователя – чтобы мы могли знать, активны они или были забанены

Хотя часть этой информации видна другим пользователям, большая часть была скрыта в базе данных сайта. Все это объединенная информация создает ценную информацию о том, как люди используют Luscious.

Наша команда также смогла просмотреть подробности сообщений в блоге и контента, опубликованного на Luscious. Это включает в себя данные автора, а также количество лайков, когда опубликовано, категории и т. Д..

Что-нибудь из этого сообщения в блоге были очень личными – включая депрессивный или иным образом уязвимый контент – и хранится анонимно. Из-за этого нарушения данных, однако, сообщения в блоге больше не являются анонимными, и многие личности авторов раскрыты. 

Аналогично, для изображений, загруженных в Luscious, мы получили доступ к индексу изображений с подробной информацией, включая информацию о том, кто их создал..

1 миллион + затронутых пользователей находятся по всему миру, и их местоположения также раскрыты в нарушение. Во время нашего исследования мы смогли получить доступ к профилям пользователей из Европы, Азии, Австралии и Америки.. 

Например, мы нашли примерно 13 000 адресов электронной почты в «.fr», что составляет около 1,25% базы данных. Учитывая количество французов, которые используют почтовый хостинг, такой как Gmail, заканчивающийся на «.com» и основанный на французских именах, которые мы видели на адресах @ gmail.com- По нашим оценкам, фактическое число французских пользователей будет примерно в 3 раза выше: примерно 40 000.

Ниже приведена таблица с описанием международного распределения пользователей Luscious на основе адресов электронной почты и наших оценок реальных чисел с учетом учетных записей Gmail и статистики Similarweb..

 Страна Наша оценка пользователей на основе адресов электронной почты, найденных в БД
 Франция   40000
 Нидерланды  8000
 Швеция  6000
 Германия  50000
 Испания  7000
 Россия  35000
 Израиль  1000
 Италия  18 000
 Бразилия  10000
 Канада  15000
 Австралия  5000
 Польша  20000
 Япония  6000
 Индия  6000

Большую проблему вызывает тот факт, что многие пользователи присоединились к Luscious на официальных электронных письмах правительства. Мы нашли примеры этого от пользователей в Бразилии, Австралии, Италии, Малайзии и Австралии. 

Домен Наша оценка пользователей на основе адресов электронной почты, найденных в БД
.образование  Меньше тысячи
.правительственный  множество

Это добавляет много дополнительных уязвимость не только для пользователей, но и их работодателей. С доступом к адресам электронной почты сотрудников, криминальные хакеры могут нацеливаться на правительственные учреждения и департаменты разными способами.

Влияние нарушения данных

Воздействие этого нарушения данных на пользователей может быть разрушительный, лично и в финансовом отношении. Активность на сайтах для взрослых, таких как Luscious is самый частный в природе, и никто никогда не ожидает, что это будет раскрыто.  

Его воздействие может быть разрушительный для отношений жертвы и личной жизни. 

Информация, доступная в базах данных Luscious предоставляет злоумышленникам и злоумышленникам множество возможностей использовать эти данные для незаконного получения прибыли и эксплуатации пользователей.. 

Doxing

Doxing относится к расследованию интернета личность пользователя и ее обнародование, обычно со злым умыслом. Имея доступ к адресам и адресам электронной почты пользователей Luscious, хакеры могут легко найти их профили в социальных сетях и подобные сайты. 

С этой информацией, Сочный пользователь рискует быть публично разоблаченным за свою активность на сайте. Они могут быть предназначено для преследования, запугивания или передачи деталей со своей семьей, друзьями и работодателями. 

Учитывая характер контента на Luscious, последствия такой кампании могут быть разрушительными. 

вымогательство

Как только личность пользователя Luscious скомпрометирована, на него можно нацелиться не только на издевательства. Хакеры могут угрожать разоблачить пользователей, если они не заплатят выкуп. Учитывая деликатный характер этого нарушения данных, жертвы невероятно уязвимы и могут платить. 

тем не мение, выплата выкупа не гарантирует, что ваши данные не будут раскрыты в любом случае. Как только эти данные украдены, это можно использовать и продавать снова и снова. Это оставляет пользователей открытыми для продолжающееся вымогательство от одного хакера, с потенциалом для их Luscious активность по-прежнему утекать другим.

Фишинг

Фишинг относится к созданию имитационные электронные письма, отправленные жертвам, чтобы обмануть их в предоставлении паролей или другой компрометирующей информации, предоставлении доступа к финансовым счетам или кредитным картам и внедрении вредоносных программ на устройстве. 

Хакер или киберпреступник отправляет адресату электронное письмо сделано, чтобы выглядеть как законный бизнес или организация, которую жертва уже использует, извлечь нужную информацию или посадить вредоносное ПО. 

Раскрывая личные данные, такие как адреса электронной почты и местоположение, Luscious утечка данных помогает злоумышленникам атаковать пользователей для будущей эксплуатации, мошенничества или кражи. Они могут использовать эту информацию для создавать эффективные мошеннические электронные письма и отправлять их прямо в почтовый ящик пользователя – таким образом, они также выделяются из спама и нежелательной почты.

Действия конкурента

Это нарушение данных также делает Люциуса уязвимым. Более 1 миллиона пользователей и более 20 миллионов посещений в месяц ведущий сайт в своей нише. Это также, без сомнения, очень выгодно. 

С частной информацией теперь раскрывается, Конкуренты Luscious могут также анализировать поведение пользователей – их любимые, что им нравится, как они взаимодействуют с другими пользователями – и нацелить их с лучшими альтернативами. Обычно онлайн-компании надежно скрывают всю эту информацию, так как представляет огромный риск для их бизнес-модели и доходов.

Совет от экспертов

Эту утечку данных можно было легко избежать если бы Люциус взял немного основные меры безопасности. Они могут быть воспроизведены любой компанией, независимо от ее размера:

  1. Защитите свои серверы.
  2. Реализуйте правильные правила доступа.
  3. Никогда не оставляйте систему, не требующую аутентификации, открытой для интернета..

Для пользователей

Мы предлагаем вам немедленно измените данные своей учетной записи Luscious, включая ваше имя пользователя и связанный адрес электронной почты.  

Для сайтов на взрослую тему или любых других сайтов чувствительного характера, всегда создать имя пользователя, совершенно не связанное с вашим личным адресом электронной почты или любой другой онлайн-аккаунт. 

Если вы указали свое местоположение на Luscious, удалите эту информацию из своего профиля. Вы также можете изменить свое местоположение с помощью VPN.

Чтобы узнать больше о вашей конфиденциальности в Интернете в целом и о том, как избежать утечек данных, подобных этой, в вашей жизни и бизнесе, прочитайте наше полное руководство по конфиденциальности в Интернете..

Как и почему мы обнаружили нарушение

Исследовательская группа vpnMentor обнаружила нарушение в базах данных Luscious как часть огромного веб-картографического проекта. Наши хакеры используют сканирование портов для проверки определенных IP-блоков и проверки уязвимостей на наличие уязвимостей. Они проверяют каждую дыру на предмет утечки данных. 

Когда они обнаруживают нарушение данных, они использовать экспертные методы для проверки подлинности базы данных. Мы тогда предупредить компанию на нарушение. Если возможно, мы также будем предупреждать тех, кто пострадал от нарушения.

Наша команда смогла получить доступ к этой базе данных, потому что она была полностью незащищенной и незашифрованной. 

Компания использует базу данных Elasticsearch, которая обычно не предназначена для использования URL. Однако мы смогли получить к нему доступ через браузер и манипулировать критериями поиска URL, чтобы в любое время открывать схемы из одного индекса.. 

Целью данного веб-картографического проекта является помочь сделать интернет безопаснее для всех пользователей. 

Как этические хакеры, мы обязаны информировать компанию когда мы обнаруживаем недостатки в их онлайн-безопасности. Это особенно верно, когда взлом данных компании содержит такую ​​частную информацию.

Однако эти этика также означает, что мы несем ответственность перед обществом.. Сочные пользователи должны знать о взломе данных, который также влияет на них.

О нас и предыдущих отчетах

vpnMentor является крупнейшим в мире веб-сайтом обзоров VPN. Наша исследовательская лаборатория является бесплатной службой, которая стремится помочь интернет-сообществу защитить себя от киберугроз, одновременно обучая организации защите данных своих пользователей. Недавно мы обнаружили огромное нарушение данных, затрагивающее 80 миллионов домашних хозяйств в США. Мы также обнаружили, что нарушение Biostar 2 поставило под угрозу биометрические данные более 1 миллиона человек. Вы также можете прочитать наш отчет об утечке VPN и отчет о конфиденциальности данных.