智能家居科技50 万中国用户,成人网站泄露 108 亿数据,内含


智能家居科技50 万中国用户,成人网站泄露 108 亿数据,内含
文章图片
近日 , 据外媒BleepingComputer报道 , 因Elasticsearch集群错误配置 , 成人视频网站CAM4发生重大数据泄露事件 。
泄露108亿条记录的成人视频网站
据悉 , 本次泄露的数据量超7TB , 存储着超过108亿条记录 。 由于一个错误配置的Elasticsearch集群导致CAM4的生产数据库在网上公开 , 因此数据被泄露 。
智能家居科技50 万中国用户,成人网站泄露 108 亿数据,内含
文章图片
由安全研究者AnuragSen领导的一个SafetyDetectives团队发现了CAM4不安全的数据库 。 该团队在报告此事后 , CAM4的母公司很快下线数据库 。
研究人员发现 , 在108亿条记录中 , 有1100万份包含电子邮件地址 , 另有26392701份包含CAM4用户和网站系统的密码散列 。
据了解 , CAM4主要面向欧美受众 , 它是一个广受欢迎的成人直播平台 , 不少素人会通过直播摄像头在该平台上直播成人内容 。 CAM4每年有近20亿访客 , 其成员每周在上面花费的时间超过100万个小时 , 平台每天播放超过75999个私人节目 。
根据研究者分析 , 本次泄露的数据包含大量个人身份信息(PII) , 涵盖姓名、性取向、电子邮件、IP地址、支付记录和聊天记录等 。 具体数据类型如下:
姓名电子邮件地址出生地注册日期性别偏好和性取向设备信息其他用户细节 , 比如口语用户名支付记录 , 包括信用卡类型、支付金额等用户对话邮件往来记录用户和CAM4的聊天记录令牌信息密码hashesIP地址FrauddetectionlogsSpamdetectionlogs全球多国用户受影响 , 包括超50万的中国用户
基于CAM4不安全的数据库 , SafetyDetectives团队分析了每个国家受影响的用户数 。 其中 , 本次泄露事件涉及近660万美国用户、530万巴西用户 。 值得注意的是 , 泄露事件还影响到超过53万的中国用户 。
智能家居科技50 万中国用户,成人网站泄露 108 亿数据,内含
文章图片
此外 , 本次泄露事件还影响到480万意大利用户、410万法国用户、300万德国用户、245万西班牙用户和160万英国用户 。
研究者称 , “安全团队还发现了26392701条带有散列密码的条目 , 其中一部分属于CAM4.com用户 , 一部分来自网站系统资源 。 ”
针对此次数据泄露 , CAM4公司在一份声明中表示 , “毫无疑问 , 包括姓名、地址、电子邮件、IP地址或财务数据在内的任何个人身份信息 , 都没有被SafetyDetectives团队和CAM4调查人员之外的人所访问 。 ”
不过 , 如此包含大量且详细信息的数据泄露事件 , 危害极大 。 因为攻击者可能以CAM4用户和成员为目标 , 利用泄露的个人身份数据(PII) , 实施多种攻击 , 包括鱼叉式钓鱼攻击、勒索活动、身份窃取和多种类型的欺诈活动等 。
Elasticsearch数据泄露 , 你该怎么办?
除CAM4外 , 法国《费加罗报》同样因Elasticsearch配置错误而发生数据泄露 , 泄露74亿条记录 , 超8TB数据在网上公开 。
【智能家居科技50 万中国用户,成人网站泄露 108 亿数据,内含】上述两起重大数据泄露事件均与Elasticsearch有关 。 此前 , InfoQ已经报道过多起Elasticsearch数据泄露 , 比如Elasticsearch在2019年1月发生6起数据泄露事件:
百安居发生数据泄露 , 70000起店内盗窃案的信息流出;在线赌场泄漏1.08亿投注信息;美国多家大银行贷款文件遭泄露 , 文件数量达2400万;青年学生组织AIESEC的400万条志愿者信息泄露;VOIPO超百万的电话和短信数据泄露;IT安全和云数据管理公司Rubrik发生大规模数据泄露 。对于Elasticsearch有关的数据泄露事件 , Elasticsearch中文社区深圳分会杨振涛曾表示:
不少开发人员及其团队在认知上更多地把Elasticsearch看成是与MySQL同等的存储系统 , 所以在部署以后并没有太多地关心其访问控制策略和数据安全 。 而且Elastisearch开箱即用的特点也让开发和运维人员放松了对安全的重视 。