研究人员发现一个数据库包含大量在线敏感信息的用户和模型,没有任何保护。数据泄露使模特和用户面临被勒索和恐吓的风险。Stripchat是一个非常受欢迎的网站。它成立于2016年,总部位于塞浦路斯。主要做人体模型相关的业务。安全机构研究人员报告说,他于11月5日在Elasticsearch集群上发现了该数据库。该数据库包含大约2亿条Stripchat记录,其中包括6500万条用户记录,包含电子邮件地址、IP地址、他们给小费的金额模型等信息,当该帐户已创建,以及上次活动的时间戳。另一个数据库包含约421,000条平台上模型的记录,包括他们的用户名、性别、工作室ID、提示菜单和直播状态。目前尚不清楚是否有任何攻击者在11月7日保护数据库之前获得了对数据库的访问权限。来自暴露数据的威胁暴露这些数据可能会对Stripchat用户和可能面临骚扰、羞辱、跟踪、勒索、网络钓鱼的模型构成重大隐私风险和其他威胁,如果数据被盗。该网站的用户和型号信息也可能被用于有针对性的网络钓鱼活动。安全研究人员警告说,受害者应该警惕冒充Stripchat或相关公司的有针对性的网络钓鱼电子邮件。切勿点击未经验证的电子邮件中的链接或附件。如果暴露的信息与用户的其他行为相结合,用户和模型的隐私风险将变得更加严重。这时候就会画出一个人的完整侧影。事实上,Stripchat数据库中的数据并没有透露太多真实的个人信息。我感觉很多访问这类网站的用户不会使用真实身份、邮箱等,大部分会使用虚拟专用网服务。隐藏他们的IP地址。尽管如此,很多这些信息可以与其他泄露的信息结合起来,我们可以找到很多其他信息。11月5日,Stripchat收到了数据泄露的通知,并通过电子邮件和Twitter及时与多个联络点和安全人员进行了沟通。虽然该公司没有直接回应安全公司的披露,但他表示截至11月7日数据是安全的。像Stripchat这样的网站应该有更强的安全预防措施,至少在收到安全警报时及时采取安全应急措施社区。谨防淫秽网络钓鱼攻击根据GreatHorn去年夏天发布的一项研究,商业电子邮件妥协(BEC)攻击中越来越多地使用淫秽网络钓鱼诱饵。该公司发现使用淫秽材料的社会工程攻击数量惊人地增加了974%,主要针对名字听起来像男性的员工。据报道,它并没有使用特定的材料进行欺骗,其目的是让用户失去平衡并吓唬他们。任何情绪激动都会降低大脑做出理性决定的能力。当前的大流行对于像Stripchat这样的网站来说是个好消息。该公司表示,在大流行和封锁之后,该平台的流量增加了72%,并在2020年增加了906,181,416名新用户。然而,随着这些平台用户的增加,他们成为更大的目标。云信息泄露现象一直存在。Stripchat已成为众多云信息泄露公司之一。VIP游戏公司在2021年初暴露了66,000名用户的用户数据。约会网站,甚至HobbyLobby,都因配置错误而遭到网络攻击。不仅在私营部门。去年夏天,Diachenko发现了一个暴露的Elasticsearch集群,其中包含190万条用户列表记录。当谈到面向公众的云存储时,安全研究人员呼吁企业采取更多措施来保护他们的数据。无论是由于公共云的错误配置还是互联网上暴露的任何服务的漏洞,信息泄露都是一个大问题。企业需要持续监控企业中部署的所有资源,以最大限度地降低此类信息泄露的风险。这些记录可以在暗网上出售,或用于进一步的攻击。本文翻译自:https://threatpost.com/adult-cam-model-user-records-exposed-stripchat-breach/176372/
