专栏首页大数据文摘成人视频网站也遭遇数据泄露!姓名、性取向等108亿条数据曝光,含53万中国用户

成人视频网站也遭遇数据泄露!姓名、性取向等108亿条数据曝光,含53万中国用户

大数据文摘出品

银行流水数据不能随便泄漏,成人网站的浏览信息那可就更加敏感了。

最近,从Zoom到三星手机,从数据公司到娱乐明星,互联网公司的信息泄漏事件频发,文摘菌都觉得有点“写不过来”。

没有绝对安全的系统,科技公司的大量数据存储、暴露在互联网上,难免中招,但是,如果这家公司运营的是一项成人直播服务,那么它的数据包就更需要小心对待了。

近日,一家名叫CAM4的成人视频网站遭遇数据泄漏,数据内容极其详细丰富,包含7tb的姓名、性取向、支付记录、电子邮件和聊天记录——总计108.8亿条记录被曝光。

CAM4是主要面向欧美受众,一个广受欢迎的成人直播平台,不少素人会通过直播摄像头在平台上直播成人内容。就安全审查网站Safety Detectives报道,其发现CAM4配置了错误的ElasticSearch生产数据库,因此很容易查找和查看大量用户身份信息以及欺诈和垃圾邮件检测日志。

包含1100万条电子邮件记录,超过5万名受害者为中国用户

“CAM4公司的生产服务器在没有任何密码的情况下暴露在公众面前,这对用户和公司都是非常危险的。”安全侦探研究员Anurag Sen说,他的团队发现了这起数据泄漏事件。

泄漏数据中包含约1100万条电子邮件记录,其中包含电子邮件信息,一些条目包含了来自多个国家/地区的用户相关的多个电子邮件地址。尽管并未列出所有受影响的国家/地区,但据SafetyDetectives团队获得了暴露电子邮件记录的国家/地区视图。

从下图中可以看到,本次泄露事件危及大约660万美国CAM4用户、540万巴西用户、490万意大利用户、420万法国用户,以及53万以上的中国用户。不出所料的是,由于阿联酋、沙特阿拉伯和伊朗等国家/地区禁止在国内发布成人内容,这些国家/地区的条目均为0。

除此之外,安全团队还发现了26,392,701条带有散列密码的条目,其中一部分属于CAM4.com用户,一部分来自网站系统资源。

泄漏数据内容详细,无黑客攻击直接证据

要强调的是,目前还没有证据表明CAM4被黑了,也没有证据表明数据库被恶意行为者访问了,但这并不意味着没有被黑客窃取数据。

CAM4不是唯一一家犯下相关错误的公司,ElasticSearch服务器的问题是造成无数备受关注的数据泄露的原因。通常这类服务器仅供内部使用,但一旦配置错误使其处于在线状态,没有密码保护,就会存在巨大的安全隐患。

安全顾问Bob Diachenko说,“对我来说,看到大量暴露的ElasticSearch实例其实非常常见。但令人惊讶的是这次公布数据的详细程度。”

这次被泄露的数据有多详细呢?

据报道,CAM4泄露的数据清单非常全面,所发现的安全侦探的生产记录可追溯到今年3月16日。除了上述类别的信息外,它们还包括原产国、注册日期、设备信息、语言偏好、用户名、散列密码以及用户与公司之间的电子邮件通信。

用户密码等信息

研究人员发现,在108.8亿份记录中,有1100万份包含电子邮件地址,另有26,392,701份包含CAM4用户和网站系统的密码散列。

“有问题的服务器是一个来自许多不同来源的日志聚合服务器,但是服务器被认为是非机密的,”Krieg说。“这93条记录进入了日志,这是由于一名开发人员在调试问题时犯了一个错误,但当日志文件发生错误时,却意外地记录这些。”

不过目前仍无法确定这次的数据泄露在多大程度上影响到主播和观看用户,同样,没有迹象表明不良参与者会利用所有这些字节数据。

Sen表示,CAM4的母公司Granity Entertainment在研究人员联系后的半小时内,迅速使有问题的服务器脱机,虽然这并不足以弥补泄露的发生,但是至少可以看出,公司的响应是迅速的。

此外,尽管站点和涉及数据具有敏感性,但实际上很难将这些信息与用户的真实姓名联系起来。Diachenko说:“黑客确实必须深入研究日志,找到任何能将用户与真人联系起来的证据,或能揭示真实身份的东西。”

“当然,它不应该在网上公开,但是我会说,这不是我见过的最可怕的事情。”

CAM4公司称无第三方获取这批数据,但潜在威胁无法忽视

CAM4公司在一份声明中表示:“毫无疑问,包括姓名、地址、电子邮件、IP地址或财务数据在内的任何个人身份信息,都没有被SafetyDetectives和CAM4公司调查人员以外的任何人访问。”

该公司还说,能够确认身份的实际用户远远少于曝光记录的惊人数量。管理CAM4数据库的Smart-X的技术总监Kevin Krieg称,支付和付款信息可能已经暴露了93个人(主播和观看用户混在一起)。SafetyDetectives可能把这个数字定为“几百”。

但是,试想如果有人进行了这种挖掘,那么他们可能已经得到了相当多人的信息,包括性取向,从而对那些人进行勒索。甚至,更普遍的影响是,CAM4用户就算重新使用密码也面临着凭据填充攻击(credential stuffing attacks)的风险,从而在不使用强大唯一凭据的情况下暴露任何帐户。

或者反过来看,Sen表示,如果你拥有了这些CAM4用户的电子邮件地址,你就完全有能力从先前的数据泄露中找到关联密码,然后登录这些人的帐户。

同时,被泄漏的数据也可能使CAM4面临风险,特权欺诈和垃圾邮件检测信息将为潜在的攻击者提供如何绕过这些防御的路线图。

Krieg说,CAM4已经采取措施防止再次发生类似的数据泄漏事件。他说:“这是一台服务器,首先不应具有面向外部的IP。”“我们将把其移入内部局域网,使人们更难访问,同时确保上面没有不应该任何敏感内容,包括可识别出个人身份的信息。”

数据泄漏事件频发,虽然数据泄露不比违反互联网规定,但是面对如此敏感的信息被泄露,公司有责任采取一切预防措施来保护它,而不是最低要求。

相关报道:

https://www.wired.com/story/cam4-adult-cam-data-leak-7tb/

本文分享自微信公众号 - 大数据文摘(BigDataDigest),作者:文摘菌

原文出处及转载信息见文内详细说明,如有侵权,请联系 yunjia_community@tencent.com 删除。

原始发表时间:2020-05-07

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

我来说两句

0 条评论
登录 后参与评论

相关文章

  • AI未来如何应对数据饥荒?联邦学习的崛起

    人工智能于1956年被设立为一门学科,然而尽管它已有60年的历史,但其发展仍道阻且长。

    大数据文摘
  • 网络营销大数据实操七步走

    大数据文摘
  • 2015数据驱动的营销概况:信息成为最宝贵的货币

    大数据文摘
  • 单点登录简单实现

    下面展示同一级域名和不同一级域名这两种情况下的单点登录的实现方案,这两种情况下实现的方法差不多,前面一种情况相对后面来说略微简单一点,所以我们将先展示如何在同一...

    腾讯IVWEB团队
  • 如何正确利用数据分析工具,为企业带来价值

    企业使用网站分析工具(Web Analytics Tool)时,总希望其能毫发无遗地收集每一笔数据,从而准确地衡量任一性能指标。但很多时候,他们会发现工具所提供...

    Ptengine
  • 来自用户体验大师的100个UX设计建议——上篇

    以下内容由摹客团队翻译整理,仅供学习交流,摹客iDoc是支持智能标注和切图的产品协作设计神器。

    奔跑的小鹿
  • 数据分析师在物联网的哪个环节?

    2005年,国际电信联盟的一份报告中描绘了“物联网”时代的图景:当司机出现操作失误时汽车会自动报警;公文包会提醒主人忘带了什么东西;衣服会“告诉”洗衣机对颜色和...

    数说君
  • 网络罪犯:互联网丛林中的捕猎者

    作者 Rabbit_Run 概述 任何使用互联网的人都身处危险之中,不分你年龄几何,不管你在网络上喜欢做什么。网络罪犯能够部署一个强大的军火库,瞄准任何可能的...

    FB客服
  • 黑客拿个人隐私数据干什么?

    当黑客攻击网站系统, 偷走个人隐私数据, 对您的网站或者其他受害者来说风险着什么? 你的名字和邮件地址对网络犯罪者来说有什么价值?为此 CIO.com针对个人隐...

    程序员互动联盟
  • 当AI学会了咪蒙的文风之后……

    不小心训练了一个AI学习了咪蒙的文章风格,获取了她的世界观,本文演示下此AI的能力。

    mixlab

扫码关注云+社区

领取腾讯云代金券