Stripchat的漏洞暴露了2亿条记录信息
2021-11-19
来源:嘶吼专业版
研究人员在网上发现了一个包含大量用户和模特敏感信息的数据库,没有做任何保护。此次数据的泄露使得模特和用户面临着被敲诈和被恐吓等风险。
Stripchat是一个目前很流行的网站,成立于2016年,总部设在塞浦路斯,主要是做人体模特相关的业务。
安全机构的研究人员报告说,他在11月5日在一个Elasticsearch集群上发现了这个数据库。该数据库包含了约2亿条Stripchat记录,其中包括6500万条用户记录,包含了电子邮件地址、IP地址、他们给模特的小费金额、账户创建时间和最后一次活动的时间戳等信息。
另一个数据库包含了大约42.1万条该平台模特的记录,包括他们的用户名、性别、工作室ID、小费菜单、直播状态。
目前还不清楚,在11月7日数据库被保护起来之前,是否已经有攻击者进入到了数据库。
数据被暴露所带来的威胁
这些数据的曝光可能会对Stripchat的用户和模特造成重大的隐私风险,如果数据被盗,他们可能会面临着被骚扰、羞辱、跟踪、勒索、网络钓鱼和其他威胁。
该网站的用户和模特信息也很可能被用于有针对性的网络钓鱼攻击活动。
安全研究人员警告说,受害者应该警惕那些来自于冒充Stripchat或相关公司的有针对性的网络钓鱼邮件。千万不要点击未经验证的电子邮件中的链接或附件。
如果暴露的信息再结合用户的其他行为,那么用户和模特的隐私风险就会变得更加严重,此时,一个人完整的轮廓就会被描绘出来。实际上,Stripchat数据库中的数据,并没有泄露太多个人的真实信息,我感觉很多访问此类网站的用户不会使用他们的真实身份、电子邮件等,他们也大多会使用VPN服务,隐藏他们的IP地址。尽管如此,这些信息很多都可以与其他被泄露的信息进行结合匹配,我们还可以发现很多其他的信息。
11月5日,Stripchat收到了数据被曝光的通知,通过电子邮件和Twitter的多个联络点和安全人员进行了及时的沟通。虽然该公司没有直接回应安全公司的披露,但他说,截至11月7日,数据是安全的。
像Stripchat这样的网站应该有更强的安全防范措施,在收到安全社区发出的这样的警报时,至少要及时采取安全应急响应措施。
小心淫秽钓鱼网站攻击
根据GreatHorn去年夏天发表的研究报告,淫秽网络钓鱼诱饵正越来越多地被用于商业电子邮件入侵(BEC)攻击活动中。该公司发现,使用淫秽材料进行的社交工程攻击惊人地上升了974%,这些材料大多会针对那些名字听起来像是男性的员工进行攻击。
根据该报告,它并不会使用具体的材料进行欺骗,其目的是使用户失去心理平衡,受到惊吓。任何兴奋的情绪,都会降低大脑做出理性决定的能力。
当前的大流行病对于像Stripchat这样的网站来说是一个好消息。该公司表示,在大流行病发生和封锁之后,该平台的流量上升了72%,并在2020年增加了906,181,416名新用户。
但是,随着这些平台的用户增加,它们成为了更大的攻击目标。
云端信息被泄漏的现象一直存在
Stripchat成为了众多云端信息泄漏公司中的一个,VIP游戏公司在2021年初暴露了66000名用户的用户数据。约会网站,甚至是Hobby Lobby,都由于错误的配置受到了网络攻击。并且这不仅仅是在私营部门。去年夏天,Diachenko发现了一个暴露的Elasticsearch集群,其中就包含了190万条用户名单记录。
当涉及到面向公众的云存储时,安全研究人员呼吁企业需要做更多的工作来保护他们的数据。
无论是由于公共云的配置错误还是暴露在互联网上的任何服务的漏洞,信息泄露是一个很大的问题。企业需要持续监测部署在企业中的所有资源,尽量减少这种信息暴露的风险。这种记录可以在暗网中出售,或用于进一步的攻击。