Pranešimas: „VEED.io“ atskleidžia privačių vartotojų vaizdo įrašus duomenų nutekėjime


„vpnMentor“ tyrimų komanda, vadovaujama garsių analitikų Noamo Rotemo ir Ran Locaro, neseniai atrado saugos pažeidimas duomenų bazėje, priklausančioje vaizdo įrašų redagavimo platformai VEED.io.

Londone įsikūręs VEED suteikia vartotojams įrankius įkelkite vaizdo įrašus ir optimizuokite juos, kad galėtumėte bendrinti socialinėje žiniasklaidoje. Su daugiau 50 000 vartotojų visame pasaulyje, jų klientų ratą sudaro skelbimai, influenceriai, verslo įmonės, ir nuolatiniai socialinės žiniasklaidos vartotojai. 

Pažeista duomenų bazė pakenkė kiekvieno VEED vartotojo privatumui, atskleidžiant visą į platformą įkeltą turinį neapdorota, neredaguota forma. Tai apėmė privataus vaizdo įrašus, kurie yra labai jautrūs. 

Atradimo laikas ir savininko reakcija

Kartais duomenų pažeidimo mastas ir duomenų bazės savininkas yra akivaizdūs, ir problema greitai išsisprendė. Tačiau retais atvejais tai būna. Dažniausiai mums reikia tyrimų dienų, kad suprastume, kas rizikuoja ar kas nutekina duomenis.

Norint suprasti pažeidimą ir galimą jo poveikį, reikia skirti daug dėmesio ir laiko. Mūsų komanda turi būti kruopšti ir įsitikinti, kad viskas, ką randame, yra teisinga ir teisinga. Kartais paveiktos šalys neigia faktus, neatsižvelgdamos į mūsų tyrimus ar menkindamos jų poveikį. 

Laimei, šį kartą komanda greitai nustatė „VEED“ kaip duomenų savininkus. Patalpinta „Amazon Web Services“ (AWS), duomenų bazė buvo S3 segmentas - įprasta saugojimo AWS forma. 

Kreipėmės į bendrovę, kad įspėtume apie pažeidžiamumą, tačiau atsakymas buvo gautas prieš kelias savaites. Tuo tarpu mes taip pat tiesiogiai susisiekėme su AWS, kad praneštume jiems apie šią problemą. Kai AWS susisiekė su VEED, pažeidimas buvo uždarytas. 

  • Atradimo data: 12/10
  • Susisiekimo su pardavėjais data: 15/10
  • Susisiekimo su AWS data: 27/10
  • AWS atsakymo data: 29/10
  • Veiksmo data: Maždaug 05/11
  • Atsakymo iš VEED data: 19/11/11

Įrašų duomenų bazėje pavyzdys

AWS kaušas buvo 10 000 vaizdo įrašų, tiek neapdorotų, tiek redaguotų. Taip buvo įkelta „VEED“ vartotojų visame pasaulyje ir apimanti rinkodaros medžiagą, vaizdo įrašus šeimai ir net namų pornografiją. 

Taip pat yra galbūt kai kuriuose vaizdo įrašuose buvo įvairių formų nelegalaus turinio.

Mūsų tyrinėtojai buvo gali pasiekti ir teoriškai peržiūrėti bet kokį turinį, įkeltą į VEED, nepriklausomai nuo to, ar jis buvo sukurtas privačiam, ar viešam peržiūrai. 

Duomenų pažeidimo poveikis

Šis duomenų pažeidimas reiškia rimtas pagrindinio VEED saugumo protokolo panaikinimas. Parodydami visą savo vartotojo sukurto turinio duomenų bazę, jie rizikavo savo klientų ir viso verslo privatumu. 

Duomenų saugumas kelia vis didesnį nerimą visiems interneto vartotojams nepriklausomai nuo to, kokią svetainę, įrankį ar platformą jie naudoja. Verslas, naudojantis VEED rinkodaros ir reklamos tikslais, bus susirūpinęs privatus turinys buvo atviras visuomenei dar prieš jį išleidžiant, dėl to gali būti prarasti klientai ar imtasi teisinių veiksmų.

Panašiai, jei kai kuriuose vaizdo įrašuose yra nelegalaus turinio, tai gali padaryti VEED atsakinga už teisinius veiksmus. 

Atskiriems vartotojams atskleista duomenų bazė pakenkė jiems asmeniškai. Nebuvo aišku, kurie vaizdo failai buvo skirti asmeniniam naudojimui, o kurie buvo skirti įkelti į socialinę terpę. 

Paimk, pavyzdžiui, pornografinės medžiagos. 

Šių vaizdo įrašų kūrėjams būtų pagrįstai nemalonu, jei jie būtų prieinami visuomenei. Tai yra rimtesnė nei tik galbūt gėdinga: privati, intymi, namuose gaminama pornografija yra vertinga šantažo ir turto prievartavimo priemonė. 

Nusikaltėliai ir piktybiški įsilaužėliai galėjo šiuos vaizdo įrašus prieš savo kūrėjus nukreipti juos įvairiais būdais ir sukelti žlugdančias pasekmes asmeniškai ir finansiškai.

Ekspertų patarimai

VEED galėjo lengvai išvengti šio nuotėkio, jei būtų ėmęsi kai kurių pagrindinių saugumo priemonių apsaugoti S3 kibirą. Bet kuri įmonė gali pakartoti šiuos veiksmus, nesvarbu, koks jų dydis:

  1. Apsaugokite savo serverius.
  2. Įgyvendinkite tinkamas prieigos taisykles.
  3. Niekada nepalikite internete atviros sistemos, kuriai nereikia autentifikavimo.

Norėdami gauti išsamesnį vadovą, kaip apsaugoti savo verslą, skaitykite mūsų vadove, kaip apsaugoti jūsų svetainę ir internetinę duomenų bazę nuo įsilaužėlių..

VEED Vartotojai

Skirtingai nuo daugelio duomenų nutekėjimų, mes juos atrandame ir analizuojame, jei pakeisite savo prisijungimo duomenis, čia nebus jokios įtakos. Nuotėkio pavidalo vaizdo turinys, įkeltas į VEED, nereikalaujant vartotojo prisijungimo informacijos, kad galėtumėte prieiti prie jo.

Dėl šios priežasties, VEED turi uždaryti pažeidimą ir apsaugoti vaizdo įrašus nuo pašalinių šalių. 

Jei esate VEED vartotojas ir nerimaujate, kaip šis pažeidimas galėtų jus paveikti, susisiekite su jais ir paklauskite, kokių žingsnių jie imasi. 

Norėdami sužinoti apie duomenų pažeidžiamumą apskritai ir kaip apsaugoti jus nuo nutekėjimo, skaityti mūsų pilnas internetinio privatumo vadovas.

Tai parodo daugybę būdų, kaip internetiniai nusikaltėliai nukreipti į interneto vartotojus ir veiksmus, kuriuos galite atlikti, kad būtumėte saugūs.

Kaip ir kodėl mes nustatėme pažeidimą

„VpnMentor“ tyrimų komanda aptiko pažeidimą VEED duomenų bazėse kaip dalį didžiulis interneto žemėlapių projektas. Mūsų įsilaužėliai naudoja prievadų nuskaitymą norėdami ištirti tam tikrus IP blokus ir patikrinti, ar sistemose nėra atvirų skylių. Jie tiria kiekvieną skylę, ar nėra nutekėjusių duomenų. 

Radę duomenų pažeidimą, jie naudoja ekspertų metodus duomenų bazės tapatumui patikrinti. Tada mes įspėjame įmonę apie pažeidimą. Jei įmanoma, įspėsime ir tuos, kuriems padarytas pažeidimas.

VEED AWS naudojo atvirą S3 Bucket duomenų bazę, kurios jie nebuvo tinkamai apsaugoję. Nors AWS teikia kaušams pritvirtinti skirtus įrankius, kad jie būtų neprieinami pašalinėms šalims, klientas turi juos naudoti.. 

Mums pavyko pasiekti VEED S3 segmentą, nes jis buvo visiškai neužtikrintas ir nešifruotas. Naudodama interneto naršyklę, komanda galėjo pasiekti visus failus, laikomus duomenų bazėje.

Šio internetinio žemėlapių projekto tikslas - padėti internetui padaryti saugesnį visiems vartotojams. 

Kaip etiniai įsilaužėliai, mes privalome informuoti įmonę kai pastebėsime jų internetinio saugumo trūkumų. Tai ypač pasakytina apie įmonės duomenų pažeidimus, kuriuose yra tokios neskelbtinos ir žalingos informacijos.

Ši etika taip pat reiškia mes prisiimame atsakomybę prieš visuomenę. VEED vartotojai turi žinoti apie duomenų pažeidimus, darančius įtaką jiems.

Apie mus ir ankstesnės ataskaitos

vpnMentor yra didžiausia pasaulyje VPN apžvalgų svetainė. Mūsų tyrimų laboratorija yra pro bono paslauga, kuria siekiama padėti internetinei bendruomenei apsiginti nuo kibernetinių grėsmių, kartu mokant organizacijas apsaugoti savo vartotojų duomenis.. 

Neseniai aptikome didžiulį duomenų pažeidimą, paveikiantį 80 milijonų JAV namų ūkių. Mes taip pat atskleidėme, kad „Biostar 2“ pažeidimas pakenkė daugiau nei 1 milijono žmonių biometriniams duomenims. Taip pat galbūt norėsite perskaityti mūsų VPN nutekėjimo ataskaitą ir duomenų privatumo statistikos ataskaitą.

Brayan Jackson
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me