银行流水数据不能随便泄漏,成人网站的浏览信息那可就更加敏感了。
最近,从Zoom到三星手机,从数据公司到娱乐明星,互联网公司的信息泄漏事件频发,文摘菌都觉得有点“写不过来”。
没有绝对安全的系统,科技公司的大量数据存储、暴露在互联网上,难免中招,但是,如果这家公司运营的是一项成人直播服务,那么它的数据包就更需要小心对待了。
近日,一家名叫CAM4的成人视频网站遭遇数据泄漏,数据内容极其详细丰富,包含7tb的姓名、性取向、支付记录、电子邮件和聊天记录——总计108.8亿条记录被曝光。
CAM4是主要面向欧美受众,一个广受欢迎的成人直播平台,不少素人会通过直播摄像头在平台上直播成人内容。就安全审查网站Safety Detectives报道,其发现CAM4配置了错误的ElasticSearch生产数据库,因此很容易查找和查看大量用户身份信息以及欺诈和垃圾邮件检测日志。
包含1100万条电子邮件记录,超过5万名受害者为中国用户
“CAM4公司的生产服务器在没有任何密码的情况下暴露在公众面前,这对用户和公司都是非常危险的。”安全侦探研究员Anurag Sen说,他的团队发现了这起数据泄漏事件。
泄漏数据中包含约1100万条电子邮件记录,其中包含电子邮件信息,一些条目包含了来自多个国家/地区的用户相关的多个电子邮件地址。尽管并未列出所有受影响的国家/地区,但据SafetyDetectives团队获得了暴露电子邮件记录的国家/地区视图。
从下图中可以看到,本次泄露事件危及大约660万美国CAM4用户、540万巴西用户、490万意大利用户、420万法国用户,以及53万以上的中国用户。不出所料的是,由于阿联酋、沙特阿拉伯和伊朗等国家/地区禁止在国内发布成人内容,这些国家/地区的条目均为0。
除此之外,安全团队还发现了26,392,701条带有散列密码的条目,其中一部分属于CAM4.com用户,一部分来自网站系统资源。
泄漏数据内容详细,无黑客攻击直接证据
要强调的是,目前还没有证据表明CAM4被黑了,也没有证据表明数据库被恶意行为者访问了,但这并不意味着没有被黑客窃取数据。
CAM4不是唯一一家犯下相关错误的公司,ElasticSearch服务器的问题是造成无数备受关注的数据泄露的原因。通常这类服务器仅供内部使用,但一旦配置错误使其处于在线状态,没有密码保护,就会存在巨大的安全隐患。
安全顾问Bob Diachenko说,“对我来说,看到大量暴露的ElasticSearch实例其实非常常见。但令人惊讶的是这次公布数据的详细程度。”
这次被泄露的数据有多详细呢?
据报道,CAM4泄露的数据清单非常全面,所发现的安全侦探的生产记录可追溯到今年3月16日。除了上述类别的信息外,它们还包括原产国、注册日期、设备信息、语言偏好、用户名、散列密码以及用户与公司之间的电子邮件通信。
用户密码等信息
研究人员发现,在108.8亿份记录中,有1100万份包含电子邮件地址,另有26,392,701份包含CAM4用户和网站系统的密码散列。
“有问题的服务器是一个来自许多不同来源的日志聚合服务器,但是服务器被认为是非机密的,”Krieg说。“这93条记录进入了日志,这是由于一名开发人员在调试问题时犯了一个错误,但当日志文件发生错误时,却意外地记录这些。”
不过目前仍无法确定这次的数据泄露在多大程度上影响到主播和观看用户,同样,没有迹象表明不良参与者会利用所有这些字节数据。
Sen表示,CAM4的母公司Granity Entertainment在研究人员联系后的半小时内,迅速使有问题的服务器脱机,虽然这并不足以弥补泄露的发生,但是至少可以看出,公司的响应是迅速的。
此外,尽管站点和涉及数据具有敏感性,但实际上很难将这些信息与用户的真实姓名联系起来。Diachenko说:“黑客确实必须深入研究日志,找到任何能将用户与真人联系起来的证据,或能揭示真实身份的东西。”
“当然,它不应该在网上公开,但是我会说,这不是我见过的最可怕的事情。”
CAM4公司称无第三方获取这批数据,但潜在威胁无法忽视
CAM4公司在一份声明中表示:“毫无疑问,包括姓名、地址、电子邮件、IP地址或财务数据在内的任何个人身份信息,都没有被SafetyDetectives和CAM4公司调查人员以外的任何人访问。”
该公司还说,能够确认身份的实际用户远远少于曝光记录的惊人数量。管理CAM4数据库的Smart-X的技术总监Kevin Krieg称,支付和付款信息可能已经暴露了93个人(主播和观看用户混在一起)。SafetyDetectives可能把这个数字定为“几百”。
但是,试想如果有人进行了这种挖掘,那么他们可能已经得到了相当多人的信息,包括性取向,从而对那些人进行勒索。甚至,更普遍的影响是,CAM4用户就算重新使用密码也面临着凭据填充攻击(credential stuffing attacks)的风险,从而在不使用强大唯一凭据的情况下暴露任何账户。
或者反过来看,Sen表示,如果你拥有了这些CAM4用户的电子邮件地址,你就完全有能力从先前的数据泄露中找到关联密码,然后登录这些人的账户。
同时,被泄漏的数据也可能使CAM4面临风险,特权欺诈和垃圾邮件检测信息将为潜在的攻击者提供如何绕过这些防御的路线图。
Krieg说,CAM4已经采取措施防止再次发生类似的数据泄漏事件。他说:“这是一台服务器,首先不应具有面向外部的IP。”“我们将把其移入内部局域网,使人们更难访问,同时确保上面没有不应该任何敏感内容,包括可识别出个人身份的信息。”
数据泄漏事件频发,虽然数据泄露不比违反互联网规定,但是面对如此敏感的信息被泄露,公司有责任采取一切预防措施来保护它,而不是最低要求。