Pranešimas: Duomenų apie suaugusiųjų svetaines pažeidimas pažeidžia visų vartotojų privatumą


Vadovaujami Noamo Rotemo ir Ran Locaro, „vpnMentor“ tyrimų komanda atrado: duomenų pažeidimas suaugusiųjų svetainėje.

Veiksmingas yra nišinė pornografinių vaizdų svetainė, kurioje daugiausia dėmesio skiriama animacijai, vartotojo įkeltas turinys. Remiantis mūsų komandos atliktais tyrimais, svetainė turi daugiau nei 1 milijonas registruotų vartotojų. Kiekvienas vartotojas turi profilį, kurio informaciją galima rasti atliekant mūsų tyrimus. 

Asmeniniai profiliai leidžia vartotojams įkelti, dalytis, komentuoti ir aptarti turinį naudojant „Luscious“. Suprantama, kad visa tai daroma tuo metu savo tapatybę paslėpdami po vartotojo vardais.

Duomenų pažeidimus nustatė mūsų komanda kompromituoja šį anonimiškumą potencialiai leisdami įsilaužėliams pasiekti asmeninę vartotojų informaciją, įskaitant jų asmeninį el. pašto adresą. Dėl labai jautraus ir privataus „Luscious“ turinio pobūdžio vartotojai yra nepaprastai pažeidžiami įvairių atakų ir išnaudojimo atvejų piktybinių įsilaužėlių.

Atradimo laikas ir savininko reakcija

  • Atradimo data: 19/08/08
  • Data, kada susisiekta su savininku: 19/08/16

Įrašų duomenų bazėje pavyzdys

Duomenų pažeidimas davė mūsų komandai prieiga prie 1,195 mln. vartotojų abonementų ant geidulingo. Visi šie dalykai buvo pažeisti, atskleidžiant asmeninę informaciją apie vartotojus galimai niokojančios pasekmės. 

Į asmeninę asmeninę vartotojo informaciją, kurią mes žiūrėjome, buvo įtraukta:

  • Vartotojo vardai
  • Asmeniniai el. Pašto adresai
  • Vartotojo veiklos žurnalai (prisijungimo data, paskutinis prisijungimas)
  • Gyvenamosios vietos šalis
  • Lytis

Kai kurie vartotojai el. pašto adresai nurodė vardus ir pavardes, padidindami jų pažeidžiamumą į išnaudojimą ir elektroninius nusikaltimus.

Verta tai paminėti mes manome, kad 20% „Luscious“ paskyrų el. laiškų prisijungdami naudojasi suklastotais el. pašto adresais. Tai rodo, kad kai kurie geidulingi vartotojai aktyviai imasi papildomų veiksmų likti anonimu. 

Vartotojo elgesys & Veikla

Duomenų pažeidimas taip pat davė išsami vartotojo veiklos apžvalga. Tai leido mums peržiūrėti tokius dalykus kaip:

  • Jų sukurtų vaizdų albumų skaičius
  • Vaizdo įrašų įkėlimas 
  • Komentarai 
  • Dienoraščio įrašai
  • Mėgstamiausi
  • Stebėtojai ir sąskaitos sekė
  • Jų vartotojo ID numeris - kad galėtume sužinoti, ar jie aktyvūs, ar buvo uždrausti

Nors dalis šios informacijos yra matoma kitiems vartotojams, didžioji jos dalis buvo paslėpta svetainės duomenų bazėje. Visa ši bendra informacija sukuria vertingų įžvalgų apie tai, kaip žmonės naudojasi „Luscious“.

Mūsų komanda taip pat galėjo apžiūrėti išsami informacija apie tinklaraščio įrašus ir turinį, paskelbtą „Luscious“. Čia buvo išsami informacija apie autorių, taip pat patiko, kai paskelbta, kategorija ir kt.

Kaikurie iš šitų tinklaraščio įrašai buvo nepaprastai asmeniški - įskaitant depresinį ar kitaip pažeidžiamą turinį - ir laikomi anoniminiais. Tačiau dėl šio duomenų pažeidimo, dienoraščių įrašai nebėra anonimai, atskleidžiama daugelio autorių tapatybė. 

Panašiai ir su vaizdais, įkeltais į „Luscious“, gavome prieigą prie nuotraukų rodyklės su išsamia informacija apie tai, kas jas sukūrė.

Pranešimas: Duomenų apie suaugusiųjų svetaines pažeidimas pažeidžia visų vartotojų privatumą

Visame pasaulyje yra 1 milijonas paveiktų vartotojų, atskleista ir jų buvimo vieta pažeidime. Tyrimo metu galėjome pasiekti vartotojų profilius iš Europos, Azijos, Australijos ir Amerikos. 

Pavyzdžiui, „.fr“ radome maždaug 13 000 el. Pašto adresų, kurie sudaro apie 1,25% duomenų bazės. Atsižvelgiant į prancūzų, naudojančių el. Pašto prieglobą, pvz., „Gmail“, skaičių, pasibaigiantį „.com“ ir remiantis prancūzų vardais, kuriuos matėme @ gmail.com adresais- mes manome, kad tikrasis prancūzų vartotojų skaičius bus maždaug 3 kartus didesnis: maždaug 40 000.

Žemiau yra lentelė, kurioje aprašomas „Luscious“ vartotojų tarptautinis paskirstymas, remiantis el. Pašto adresais ir mūsų apskaičiuotais realiais skaičiais, atsižvelgiant į „Gmail“ paskyras ir „Panašių žiniatinklių“ statistiką..

 Šalis Mūsų vertinimas vartotojų yra pagrįstas el. Pašto adresais, esančiais DB
 Prancūzijoje   40 000
 Nyderlandai  8000
 Švedija  6000
 Vokietija  50 000
 Ispanija  7000
 Rusija  35 000
 Izraelis  1000
 Italijoje  18 000
 Brazilija  10000
 Kanada  15 000
 Australija  5000
 Lenkija  20 000
 Japonija  6000
 Indija  6000

Didesnį susirūpinimą kelia tai, kad daug vartotojų prisijungė prie „Luscious“ oficialiuose vyriausybės el. laiškuose. To pavyzdžių radome iš vartotojų Brazilijoje, Australijoje, Italijoje, Malaizijoje ir Australijoje. 

Domenas Mūsų vertinimas vartotojų yra pagrįstas el. Pašto adresais, esančiais DB
.edu  Mažiau nei tūkstantis
.Govas  Tuzinai

Tai suteikia daug papildomo pažeidžiamumas ne tik vartotojams, bet ir jų darbdaviams. Su prieiga prie darbuotojų el. Pašto adresų, kriminaliniai įsilaužėliai gali nukreipti vyriausybines agentūras ir departamentus įvairiais būdais.

Duomenų pažeidimo poveikis

Šis duomenų pažeidimas gali turėti įtakos vartotojams niokojantis asmeniškai ir finansiškai. Veiksmas tokiose suaugusiųjų svetainėse kaip „Luscious“ yra labiausiai privataus pobūdžio, ir niekas niekada nesitiki, kad tai bus atskleista.  

Jos poveikis gali būti žlugdo aukos santykius ir asmeninį gyvenimą. 

Informacija, prieinama „Luscious“ duomenų bazėse suteikia kriminaliniams ir kenkėjiškiems įsilaužėliams daug galimybių naudoti šiuos duomenis neteisėtai naudai ir išnaudoti vartotojus. 

Doxing

„Doxing“ reiškia internetą tiriantį veiksmą vartotojo tapatybę ir paviešinti ją, paprastai turint kenkėjiškų ketinimų. Turėdami prieigą prie geidulingų vartotojų el. Pašto adresų ir vietų, įsilaužėliai gali lengvai raskite jų profilius socialinėje žiniasklaidoje ir panašios svetainės. 

Turėdami šią informaciją, geidulingam vartotojui gresia viešumas dėl savo veiklos svetainėje. Jie galėtų būti skirtas priekabiavimui, patyčioms ar dalijantis informacija su savo šeima, draugais ir darbdaviais. 

Atsižvelgiant į „Luscious“ turinio pobūdį, tokios kampanijos poveikis gali būti pragaištingas. 

Turto prievartavimas

Pažeidus geidulingo vartotojo tapatybę, jis gali būti nukreiptas ne tik į patyčias, bet ir į kitas. Piratai gali grasinti atskleisti vartotojus, nebent jie sumokės išpirką. Atsižvelgiant į neskelbtiną šio duomenų pažeidimo pobūdį, aukos yra nepaprastai pažeidžiamos ir gali mokėti. 

Vis dėlto, sumokėdami išpirką negarantuojate, kad jūsų duomenys vis tiek nebus atskleisti. Kai šie duomenys bus pavogti, jis gali būti naudojamas ir parduodamas vėl ir vėl. Tai leidžia vartotojams naudotis tebevykstantis turto prievartavimas iš vieno įsilaužėlio, turinčių potencialą jų geidulingam veikla, kurią dar turi nutekinti kitas.

Sukčiavimas

Sukčiavimas reiškia sukūrimą el. laiškai, siunčiami aukoms, kad juos apgautų pateikti slaptažodžius ar kitą kompromituojančią informaciją, suteikti prieigą prie finansinių sąskaitų ar kreditinių kortelių ir įterpti kenkėjiškas programas įrenginyje. 

Įsilaužėlis ar elektroninis kriminalistas siunčia taikiniui el. Laišką priversti atrodyti kaip teisėtas verslas ar organizacija, kuria auka jau naudojasi, išgauti norimą informaciją ar įdiegti kenkėjišką programinę įrangą. 

Atskleisdami asmeninę informaciją, pvz., El. Pašto adresus ir vietą, geidulingas duomenų pažeidimas padeda nusikaltėliams nukreipti vartotojus į galimą išnaudojimą, sukčiavimą ar vagystes. Jie gali naudoti šią informaciją sukurti veiksmingus apgaulingus el. laiškus ir nusiųskite juos tiesiai į vartotojo el. pašto dėžutę - tokiu būdu jie taip pat išsiskiria iš šlamšto ir šlamšto.

Konkurentų veiksmai

Šis duomenų pažeidimas taip pat daro Luscious pažeidžiamą. Tai yra daugiau nei 1 milijonas vartotojų ir daugiau nei 20 milijonų apsilankymų per mėnesį pirmaujanti svetainė savo nišoje. Be abejo, tai labai pelninga. 

Dabar atskleista privati ​​informacija, Jausmingi konkurentai taip pat gali išanalizuoti vartotojo elgesį Jų mėgstamiausi, kas jiems patinka, kaip jie bendrauja su kitais vartotojais - ir nukreipkite juos į geresnes alternatyvas. Paprastai internetinės įmonės visą šią informaciją saugiai slepia kelia didžiulę riziką jų verslo modeliui ir pajamoms.

Ekspertų patarimai

Šio duomenų nutekėjimo buvo galima lengvai išvengti jei Luscious būtų kažko pasiėmęs pagrindinės saugumo priemonės. Tai gali pakartoti bet kuri įmonė, nepriklausomai nuo jos dydžio:

  1. Apsaugokite savo serverius.
  2. Įgyvendinkite tinkamas prieigos taisykles.
  3. Niekada nepalikite internete atviros sistemos, kuriai nereikia autentifikavimo.

Vartotojams

Mes jums siūlome nedelsdami pakeiskite savo „Luscious“ sąskaitos duomenis, įskaitant jūsų vartotojo vardą ir susietą el. pašto adresą.  

Visada tinka suaugusiesiems skirtoms ar kitoms jautraus pobūdžio svetainėms sukurkite vartotojo vardą, visiškai nesusijusį su jūsų asmeniniu el. pašto adresu ar bet kurią kitą internetinę sąskaitą. 

Jei atskleidėte savo buvimo vietą „Luscious“, pašalinkite šią informaciją iš savo profilio. Tu taip pat gali pakeiskite savo vietą naudodamiesi VPN.

Norėdami sužinoti daugiau apie jūsų interneto privatumą apskritai ir kaip išvengti tokių duomenų pažeidimų kaip jūsų gyvenime ir versle, perskaitykite mūsų išsamų internetinio privatumo vadovą..

Kaip ir kodėl mes nustatėme pažeidimą

„VpnMentor“ tyrimo komanda aptiko pažeidimą „Luscious“ duomenų bazėse kaip didžiulio žiniatinklio žemėlapių projekto dalį. Mūsų įsilaužėliai naudoja prievadų nuskaitymą norėdami ištirti tam tikrus IP blokus ir patikrinti, ar sistemose nėra atvirų skylių. Jie tiria kiekvieną skylę, ar nėra nutekėjusių duomenų. 

Radę duomenų pažeidimą, jie naudokite ekspertų metodus duomenų bazės tapatumui patikrinti. Mes tada įspėti įmonę iki pažeidimo. Jei įmanoma, įspėsime ir tuos, kuriems padarytas pažeidimas.

Mūsų komanda galėjo pasiekti šią duomenų bazę, nes ji buvo visiškai neužtikrinta ir nešifruota. 

Bendrovė naudoja Elasticsearch duomenų bazę, kuri paprastai nėra skirta naudoti URL. Tačiau mes galėjome pasiekti ją naudodami naršyklę ir bet kuriuo metu manipuliuoti URL paieškos kriterijais, kad pateiktume schemas iš vieno rodyklės.. 

Šio internetinio žemėlapių projekto tikslas yra padėti padaryti internetą saugesnį visiems vartotojams. 

Kaip etiniai įsilaužėliai, mes privalome informuoti įmonę kai pastebėsime jų internetinio saugumo trūkumų. Tai ypač pasakytina apie įmonių duomenų pažeidimus, kuriuose yra tokios privačios informacijos.

Tačiau ši etika taip pat reiškia, kad mes prisiimame atsakomybę prieš visuomenę. Protingi vartotojai turi žinoti apie duomenų pažeidimus, kurie daro įtaką ir jiems.

Apie mus ir ankstesnės ataskaitos

vpnMentor yra didžiausia pasaulyje VPN apžvalgų svetainė. Mūsų tyrimų laboratorija yra pro bono paslauga, kuria siekiama padėti internetinei bendruomenei apsiginti nuo kibernetinių grėsmių, kartu mokant organizacijas saugoti savo vartotojų duomenis. Neseniai aptikome didžiulį duomenų pažeidimą, paveikiantį 80 milijonų JAV namų ūkių. Mes taip pat atskleidėme, kad „Biostar 2“ pažeidimas pakenkė daugiau nei 1 milijono žmonių biometriniams duomenims. Taip pat galbūt norėsite perskaityti mūsų VPN nutekėjimo ataskaitą ir duomenų privatumo statistikos ataskaitą.

Brayan Jackson
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me