Poročilo: VEED.io razkriva video posnetke zasebnih uporabnikov v puščanju podatkov


Nedavno odkrita raziskovalna skupina vpnMentor, ki sta jo vodila priznana analitika Noam Rotem in Ran Locar kršitev varnosti v bazi podatkov, ki pripada platformi za urejanje videov VEED.io.

Londonski VEED daje uporabnikom orodja za to naložite videoposnetke in jih optimizirajte za skupno rabo na družbenih medijih. Z več 50.000 uporabnikov po vsem svetu, njihova uporabniška baza vključuje ustvarjalce, vplivneže, podjetja, in redni uporabniki družbenih medijev. 

Kršena baza podatkov ogrožala zasebnost vsakega uporabnika VEED in izpostavila vso vsebino, naloženo na platformo v njeni surovi, neurejeni obliki. To vključuje zasebne videoposnetke zelo občutljive narave. 

Časovni trak odkritja in reakcije lastnika

Včasih sta obseg kršitve podatkov in lastnik baze podatkov očitna in težava hitro odpravljena. A v teh časih so redki. Najpogosteje potrebujemo dneve preiskave, preden razumemo, kaj je v igri ali kdo pušča podatke.

Za razumevanje kršitve in njen potencialni vpliv je potrebna skrbna pozornost in čas. Naša ekipa mora biti temeljita in poskrbeti, da je vse, kar smo našli, pravilno in resnično. Občasno prizadete stranke zanikajo dejstva, ne upoštevajo naše raziskave ali zaničujejo njen vpliv. 

Na srečo je tokrat ekipa okoli hitro identificirala VEED kot lastnika podatkov. Ta baza podatkov je gostila Amazonove spletne storitve (AWS) in je bila zbirka S3 - pogosta oblika shranjevanja v AWS. 

S podjetjem smo poklicali, da smo jih opozorili na ranljivost, vendar je minilo več tednov, preden smo prejeli odgovor. Vmes smo tudi neposredno poklicali AWS, da smo jih obvestili o težavi. Ko je AWS dosegel VEED, je bila kršitev zaključena. 

  • Datum odkritja: 12/10
  • Datum stika s prodajalci: 15/10
  • Datum stika z AWS: 27/10
  • Datum odgovora s strani AWS: 29/10
  • Datum ukrepanja: Približno 5. 11.
  • Datum odgovora VEED: 21.11.19

Primer vnosov v zbirko podatkov

Žlica AWS vseboval je 10.000 videoposnetkov v surovih in urejenih oblikah. Te so bile Uporabniki VEED so jih naložili po vsem svetu in vključevali trženjsko gradivo, družinske video posnetke in celo domačo pornografijo. 

Je tudi možno je, da so nekateri videoposnetki vključevali različne oblike nezakonite vsebine.

Naši raziskovalci so bili lahko teoretično dostopa do in si ogleda vse vsebine, naložene v VEED, ne glede na to, ali je bil narejen za zasebni ali javni ogled. 

Vpliv na kršitev podatkov

Ta kršitev podatkov predstavlja huda izguba osnovnega varnostnega protokola za VEED. Z razkritjem celotne zbirke vsebin, ki jih ustvari uporabnik, so tvegal zasebnost svojih strank, pa tudi celotno poslovanje. 

Varnost podatkov je vedno večja skrb za vse uporabnike interneta ne glede na to, katero spletno mesto, orodje ali platformo uporabljajo. Podjetja, ki uporabljajo VEED za tržne in promocijske namene, bodo skrbela za svoje zasebna vsebina je bila odprta za javnost, preden so jo objavili, kar bi lahko vodilo do izgube strank ali pravnih ukrepov podjetja.

Podobno bi lahko, če nekateri videoposnetki vključujejo nezakonito vsebino VEED odgovoren za pravni postopek. 

Za posamezne uporabnike jih je izpostavljena zbirka osebno ogrožala. Ni bilo jasno, katere video datoteke so namenjene zasebni uporabi in katere so bile namenjene za nalaganje v družbene medije. 

Vzemimo za primer, pornografski material. 

Ustvarjalcem teh videoposnetkov bi bilo upravičeno neprijetno, če bi bili dostopni javnosti. Tole je resnejši od zgolj potencialno nerodnega: zasebna, intimna, domača pornografija je dragoceno orodje pri izsiljevanju in izsiljevanju. 

Kriminalci in zlonamerni hekerji bi lahko te videoposnetke nasprotovali svojim ustvarjalcem da jih ciljno usmerimo na različne načine, z rušilnimi posledicami, osebno in finančno.

Nasveti strokovnjakov

VEED bi se zlahka izognili tej ulitju, če bi sprejeli nekaj osnovnih varnostnih ukrepov za zaščito vedra S3. Vsako podjetje lahko ponovi naslednje korake, ne glede na njegovo velikost:

  1. Zavarujte svoje strežnike.
  2. Izvedite ustrezna pravila za dostop.
  3. Nikoli ne puščajte sistema, za katerega ni potrebna avtentikacija, odprt za internet.

Za podrobnejši vodnik, kako zaščititi svoje podjetje, si oglejte naš vodnik za zaščito vašega spletnega mesta in spletne baze podatkov pred hekerji.

Za VEED Uporabniki

Za razliko od večine puščanja podatkov odkrivamo in analiziramo, če spremenite podatke za prijavo v svoj račun, tu ne bo nič drugače. Video vsebina, ki je bila izpostavljena puščanju, naložena v VEED, ne da bi za dostop do nje potrebovali podatke za prijavo uporabnika.

Zaradi tega razloga, VEED je, da zaprete kršitev in zaščitite videoposnetke pred zunanjimi strankami. 

Če ste uporabnik VEED in vas skrbi, kako lahko ta kršitev vpliva na vas, se obrnite na njih in vprašajte, katere korake sprejemajo. 

Če želite izvedeti več o ranljivosti podatkov na splošno in kako zaščititi svoje pred puščanjem, preberite naše popoln vodnik za spletno zasebnost.

Prikazuje vam številne načine, kako kibernetski kriminalci ciljajo na uporabnike interneta in korake, ki jih lahko izvedete, da ostanete varni.

Kako in zakaj smo odkrili kršitev

Raziskovalna skupina vpnMentor je odkrila kršitev podatkovnih baz VEED kot del ogromen projekt spletnega kartiranja. Naši hekerji uporabljajo skeniranje vrat za pregledovanje določenih blokov IP in testiranje odprtih lukenj v sistemih za pomanjkljivosti. Vsako luknjo pregledajo, če se podatki puščajo. 

Ko ugotovijo kršitev podatkov, uporabljajo strokovne tehnike za preverjanje identitete baze podatkov. Nato podjetje opozorimo na kršitev. Če je mogoče, bomo opozorili tudi tiste, ki jih je kršila kršitev.

VEED je na AWS uporabljal odprto bazo podatkov S3 Bucket, ki je niso pravilno zavarovali. Medtem ko AWS ponuja orodja za zavarovanje vedra, ki jih naredijo nedostopne za zunanje stranke, je odvisno od kupcev, da jih uporabijo. 

Do VEED-ovega vedra S3 smo lahko dostopali, ker bila je popolnoma nezavarovana in nešifrirana. S spletnim brskalnikom je ekipa lahko dostopala do vseh datotek, ki se nahajajo v bazi.

Namen tega projekta spletnega preslikavanja je pomagati narediti internet varnejši za vse uporabnike. 

Kot etični hekerji, smo dolžni obvestiti podjetje ko odkrijemo pomanjkljivosti v njihovi spletni varnosti. To še posebej velja, če kršitev podatkov družbe vsebuje tako občutljive in škodljive podatke.

Te etike pomenijo tudi nosimo odgovornost do javnosti. Uporabniki VEED se morajo zavedati kršitve podatkov, ki vplivajo nanje.

O nas in prejšnja poročila

vpnMentor je največje spletno mesto za pregled VPN. Naš raziskovalni laboratorij je pro bono storitev, ki si prizadeva pomagati spletni skupnosti, da se brani pred kibernetskimi grožnjami, hkrati pa izobražuje organizacije o varovanju podatkov svojih uporabnikov.. 

Pred kratkim smo odkrili ogromno kršitev podatkov, ki je prizadela 80 milijonov ameriških gospodinjstev. Odkrili smo tudi, da je kršitev Biostar 2 ogrozila biometrične podatke več kot 1 milijona ljudi. Morda boste želeli prebrati tudi poročilo o puščanju VPN in poročilo o statistiki zasebnosti.

Brayan Jackson Administrator
Candidate of Science in Informatics. VPN Configuration Wizard. Has been using the VPN for 5 years. Works as a specialist in a company setting up the Internet.
follow me
Like this post? Please share to your friends:
Leave a Reply

;-) :| :x :twisted: :smile: :shock: :sad: :roll: :razz: :oops: :o :mrgreen: :lol: :idea: :grin: :evil: :cry: :cool: :arrow: :???: :?: :!:

3 + 1 =

map