对于公司来说,让充满敏感信息的数据库暴露在广袤的互联网上是很常见的。但当该公司运营成人直播服务时,这些数据包括7TB的姓名、性取向、支付日志以及电子邮件和聊天记录-总共涉及108.8亿条记录-风险略高。
该网站是CAM4,一个流行的成人平台,宣传“免费的现场性爱摄像机”。作为在Shodan引擎上搜索不安全数据库的一部分,安全审查网站安全侦探发现,CAM4错误配置了ElasticSearch生产数据库,因此很容易找到和查看成堆的个人身份信息,以及欺诈和垃圾邮件检测日志等公司详细信息。
“让他们的生产服务器在没有任何密码的情况下公开暴露,”安全侦探研究员阿努拉格·森(Anurag Sen)说,他的团队发现了这次泄漏,“这对用户和公司来说真的很危险。”
首先,这里有一个非常重要的区别:没有证据表明CAM4被黑客入侵,或者数据库被恶意攻击者访问。这并不意味着它不是,但这不是阿什利·麦迪逊式的崩溃。这是让银行保险库的门大开着(坏的)和强盗真的偷钱(更糟糕)之间的区别。
CAM4犯的错误也不是独一无二的。ElasticSearch服务器笨蛋是无数备受瞩目的数据泄露的原因。典型情况:它们仅供内部使用,但有人犯了一个配置错误,使其处于没有密码保护的在线状态。“看到很多暴露的ElasticSearch实例对我来说真的很常见,”安全顾问Bob Diachenko说,他在查找暴露的数据库方面有很长的历史。“唯一令人意外的是这次曝光的数据.”
这就是问题所在。CAM4泄露的数据清单非常全面,令人震惊。安全侦探发现的生产日志可以追溯到今年3月16日;除了上述类别的信息外,它们还包括原产国、注册日期、设备信息、语言首选项、用户名、哈希密码以及用户与公司之间的电子邮件通信。
研究人员发现,在108.8亿条记录中,1100万条包含电子邮件地址,另有26,392,701条记录有CAM4用户和网站系统的密码散列。其中数百个条目包括全名、信用卡类型和支付金额。从WIRED发送到CAM4在线门户的邮件无人应答。
很难说准确,但安全侦探的分析表明,大约660万美国CAM4用户是泄漏的一部分,巴西有540万,意大利有490万,法国有420万。目前还不清楚泄漏对表演者和客户的影响有多大。
再说一次,没有迹象表明坏人窃取了所有这些TB级的数据。森说,CAM4的母公司Granity Entertainment在研究人员联系后的半个小时内就让有问题的服务器离线了。这并不能为最初的错误开脱,但至少反应是迅速的。
此外,尽管该网站性质敏感,涉及的数据也很多,但要将具体信息与实名联系起来实际上是相当困难的。迪亚琴科说:“你真的必须在日志中寻找令牌或任何可以将你与真实的人联系起来的东西,或者任何可以揭示他或她的身份的东西。”“当然,这件事不应该在网上曝光,但我要说,这不是我见过的最可怕的事情。”
这并不是说一切都很好。如果有人做了这样的挖掘,他们可能已经发现了足够多的关于一个人的信息-包括性偏好-可能会勒索他们。在更普通的层面上,重复使用密码的CAM4用户将面临凭据填充攻击的直接风险,这可能会暴露他们不使用强、唯一凭据的任何帐户。
或者想一想相反的情况:森说,如果你有CAM4用户的电子邮件地址,你很有可能从之前的数据泄露中找到相关的密码,并侵入他们的账户。
泄密中的数据可能也会将CAM4置于危险之中;特权欺诈和垃圾邮件检测信息将为潜在攻击者提供如何绕过这些防御措施的路线图。
数据泄露时有发生。它们没有入侵那么严重,但由于信息如此敏感,公司有责任采取一切预防措施来保护它-而不是最低限度的预防。
✨使用我们齿轮团队的最佳选择优化您的家庭生活,从机器人吸尘器到价格实惠的床垫再到智能扬声器