Laporan: Pelanggaran Data di Laman Dewasa Kompromi Privasi Semua Pengguna


Diketuai oleh Noam Rotem dan Ran Locar, pasukan penyelidikan vpnMentor mendapati a pelanggaran data di laman dewasa Luscious.

Luscious adalah niche imej lucah yang tertumpu terutamanya pada animasi, kandungan yang dimuat naik oleh pengguna. Berdasarkan kajian yang dijalankan oleh pasukan kami, laman web ini telah lebih daripada 1 juta pengguna berdaftar. Setiap pengguna mempunyai profil, butiran yang boleh diakses menerusi penyelidikan kami. 

Profil peribadi membolehkan pengguna memuat naik, berkongsi, mengulas, dan membincangkan kandungan pada Luscious. Kesemua ini difahami dengan baik semasa mengekalkan identiti mereka tersembunyi di belakang nama pengguna.

Pelanggaran data pasukan kami ditemui kompromi ketidaktahuan ini dengan berpotensi membenarkan penggodam mengakses maklumat peribadi pengguna, termasuk alamat e-mel peribadi mereka. Kandungan yang sangat sensitif dan peribadi kandungan Luscious ' pengguna sangat terdedah kepada pelbagai serangan dan eksploitasi oleh penggodam berniat jahat.

Garis masa Penemuan dan Reaksi Pemilik

  • Tarikh ditemui: 15/08/19
  • Tarikh pemilik dihubungi: 16/08/19

Contoh Penyertaan dalam Pangkalan Data

Pelanggaran data memberi pasukan kami akses kepada 1.195 juta akaun pengguna pada Luscious. Semua ini dikompromikan, mendedahkan butiran peribadi pengguna dengan akibat berpotensi yang dahsyat. 

Butiran pengguna peribadi peribadi yang kami lihat termasuk:

  • Nama pengguna
  • Alamat e-mel peribadi
  • Log aktiviti pengguna (tarikh disertai, log masuk terkini)
  • Negara kediaman / lokasi
  • Jantina

Sesetengah pengguna ' alamat e-mel menunjukkan nama penuh mereka, meningkatkan kelemahan mereka untuk eksploitasi dan jenayah siber.

Perlu menyebutnya kami menganggarkan 20% daripada e-mel pada akaun Luscious menggunakan alamat e-mel palsu untuk mendaftar. Ini menunjukkan bahawa sesetengah pengguna yang lazat secara aktif mengambil langkah tambahan untuk kekal tanpa nama. 

Kelakuan Pengguna & Aktiviti

Pelanggaran data juga memberi gambaran lengkap tentang aktiviti pengguna. Ini membolehkan kami melihat perkara-perkara seperti:

  • Bilangan album imej yang telah mereka buat
  • Muat naik video 
  • Komen 
  • Jawatan blog
  • Kegemaran
  • Pengikut dan akaun diikuti
  • Nombor ID Pengguna mereka - jadi kita boleh tahu sama ada mereka aktif atau telah diharamkan

Walaupun beberapa maklumat ini dapat dilihat oleh pengguna lain, kebanyakannya disembunyikan dalam pangkalan data laman web. Semua maklumat gabungan ini mewujudkan pandangan yang berharga mengenai bagaimana orang menggunakan Luscious.

Pasukan kami juga dapat melihat butiran jawatan blog dan kandungan yang diterbitkan di Luscious. Ini termasuk butiran penulis, bersama dengan jumlah suka, apabila diterbitkan, kategori, dan lain-lain.

Sebahagian daripada ini jawatan blog sangat peribadi - termasuk kandungan depresi atau yang lemah - dan disimpan tanpa nama. Oleh kerana pelanggaran data ini, bagaimanapun, siaran blog tidak lagi dikenali, dengan banyak identiti penulis yang dinyatakan. 

Begitu juga, untuk imej yang dimuat naik ke Luscious, kami mendapat akses indeks gambar dengan maklumat terperinci, termasuk yang membuatnya.

Laporan: Pelanggaran Data di Laman Dewasa Kompromi Privasi Semua Pengguna

The 1 juta + pengguna yang terjejas terletak di seluruh dunia, dengan lokasi mereka juga mendedahkan dalam pelanggaran itu. Semasa penyelidikan kami, kami dapat mengakses profil pengguna dari Eropah, Asia, Australia, dan Amerika. 

Sebagai contoh, kami mendapati kira-kira 13,000 alamat e-mel dalam ".fr", yang mewakili kira-kira 1.25% pangkalan data. Memandangkan bilangan orang Perancis yang menggunakan hosting e-mel seperti Gmail - berakhir di ".com" dan berdasarkan nama Perancis yang kita lihat di alamat @ gmail.com- kami menganggarkan jumlah sebenar pengguna Perancis berada sekitar 3 kali lebih tinggi: kira-kira 40,000.

Berikut adalah jadual yang menggariskan pengedaran antarabangsa pengguna Luscious, berdasarkan alamat e-mel dan anggaran kami nombor sebenar, memandangkan akaun Gmail dan statistik Similarweb.

 Negara Anggaran pengguna kami berdasarkan alamat e-mel yang terdapat dalam DB
 Perancis   40,000
 Belanda  8,000
 Sweden  6,000
 Jerman  50,000
 Sepanyol  7,000
 Rusia  35,000
 Israel  1,000
 Itali  18,000
 Brazil  10,000
 Kanada  15,000
 Australia  5,000
 Poland  20,000
 Jepun  6,000
 India  6,000

Isu yang lebih perhatian ialah hakikat bahawa ramai pengguna menyertai Luscious di e-mel kerajaan rasmi. Kami menemui contoh ini dari pengguna di Brazil, Australia, Itali, Malaysia, dan Australia. 

Domain Anggaran pengguna kami berdasarkan alamat e-mel yang terdapat dalam DB
.edu  Kurang daripada seribu
.gov  Puluhan

Ini menambah banyak tambahan kelemahan bukan hanya kepada pengguna, tetapi juga majikan mereka. Dengan akses kepada alamat e-mel pekerja, penggodam jenayah boleh menyasarkan agensi dan jabatan kerajaan dalam beberapa cara.

Kesan Pelanggaran Data

Kesan pelanggaran data ini pada pengguna boleh menghancurkan, secara peribadi dan kewangan. Aktiviti di tapak dewasa seperti Luscious adalah sifat yang paling peribadi, dan tidak ada yang mengharapkannya untuk diturunkan.  

Pendedahannya boleh merosakkan hubungan dan kehidupan peribadi mangsa. 

Maklumat yang disediakan dalam pangkalan data Luscious ' memberikan penggodam jenayah dan berniat jahat banyak pilihan untuk menggunakan data ini untuk keuntungan haram dan pengguna eksploit. 

Doxing

Doxing merujuk kepada tindakan menyiasat internet identiti pengguna dan menjadikannya awam, biasanya dengan niat jahat. Dengan akses kepada alamat dan lokasi e-mel pengguna Luscious, penggodam dengan mudah cari profil mereka di media sosial dan tapak yang serupa. 

Dengan maklumat ini, pengguna lazat berisiko untuk didedahkan secara terbuka untuk aktiviti mereka di laman web. Mereka boleh jadi disasarkan untuk gangguan, buli, atau mempunyai butiran yang dikongsi dengan keluarga, kawan, dan majikan mereka. 

Memandangkan kandungan kandungan yang Luscious, kesan kempen sedemikian boleh memudaratkan. 

Peras ugut

Sebaik sahaja identiti pengguna yang lazat terjejas, mereka boleh disasarkan lebih daripada sekadar buli. Peretas boleh mengancam untuk mendedahkan pengguna melainkan mereka membayar tebusan. Memandangkan sifat sensitif pelanggaran data ini, mangsa sangat terdedah dan mungkin membayar. 

Walau bagaimanapun, membayar wang tebusan tidak menjamin butiran anda tidak akan dinyatakan. Sekali data ini dicuri, ia boleh digunakan dan dijual lagi dan lagi. Ini meninggalkan pengguna terbuka kepada peras ugutan berterusan dari satu penggodam, dengan potensi untuk Luscious mereka aktiviti yang masih bocor oleh yang lain.

Phishing

Phishing merujuk kepada penciptaan e-mel imitasi dihantar kepada mangsa untuk menipu mereka ke dalam memberikan kata laluan atau maklumat mengompromikan yang lain, memberikan akses kepada akaun kewangan atau kad kredit, dan memasukkan perisian hasad pada peranti. 

Seorang penggodam atau penjenayah siber menghantar sasaran e-mel dibuat untuk kelihatan seperti perniagaan atau organisasi yang sah yang telah digunakan oleh mangsa, untuk mengekstrak maklumat yang dikehendaki atau menanam malware. 

Dengan mendedahkan maklumat peribadi seperti alamat e-mel dan lokasi, Pelanggaran data yang lazat membantu penjenayah mensasarkan pengguna untuk mengeksploitasi, penipuan, atau kecurian pada masa akan datang. Mereka boleh menggunakan maklumat ini untuk mewujudkan e-mel penipuan yang berkesan dan hantar mereka terus ke peti masuk e-mel pengguna - dengan cara itu, mereka juga menonjol dari spam dan sampah surat.

Tindakan pesaing

Pelanggaran data ini juga membuat Luscious terdedah. Dengan lebih daripada 1 juta pengguna dan lebih 20 juta kunjungan setiap bulan, ia sebuah laman web terkemuka dalam bidangnya. Ia juga tidak syak lagi sangat menguntungkan. 

Dengan maklumat peribadi kini diturunkan, Pesaing lazat 'juga boleh menganalisis tingkah laku pengguna - kegemaran mereka, apa yang mereka suka, bagaimana mereka berinteraksi dengan pengguna lain - dan Sasarkan mereka dengan alternatif yang lebih baik. Biasanya, perniagaan dalam talian menyimpan semua maklumat ini secara rahsia tersembunyi, kerana ia membentangkan risiko besar kepada model perniagaan dan pendapatan mereka.

Nasihat daripada Pakar

Kebocoran data ini boleh dengan mudah dielakkan jika Luscious telah mengambil beberapa langkah-langkah keselamatan asas. Ini boleh direplikasi oleh mana-mana syarikat, tidak kira saiznya:

  1. Selamatkan pelayan anda.
  2. Laksanakan peraturan akses yang betul.
  3. Jangan biarkan sistem yang tidak memerlukan pengesahan terbuka ke internet.

Untuk Pengguna

Kami mencadangkan anda segera ubah butiran akaun Luscious anda, termasuk nama pengguna dan alamat e-mel yang berkaitan.  

Untuk laman web bertema dewasa, atau laman web lain yang bersifat sensitif, selalu buat nama pengguna yang sama sekali tidak berkaitan dengan alamat e-mel peribadi anda atau mana-mana akaun dalam talian lain. 

Jika anda telah mendedahkan lokasi anda pada Luscious, keluarkan butiran ini dari profil anda. Anda juga boleh ubah lokasi anda menggunakan VPN.

Untuk mengetahui lebih lanjut mengenai privasi internet anda secara umum, dan bagaimana untuk mengelakkan pelanggaran data seperti ini dalam hidup dan perniagaan anda, baca panduan lengkap kami untuk privasi dalam talian.

Bagaimana dan Kenapa Kami Menemui Pelanggaran

Pasukan penyelidikan vpnMentor mendapati pelanggaran dalam pangkalan data Luscious sebagai sebahagian daripada projek pemetaan web yang besar. Penggodam kami menggunakan pengimbasan port untuk memeriksa blok IP tertentu dan menguji lubang terbuka dalam sistem untuk kelemahan. Mereka memeriksa setiap lubang untuk data yang dibocorkan. 

Apabila mereka mendapati pelanggaran data, mereka gunakan teknik pakar untuk mengesahkan identiti pangkalan data. Kami kemudiannya amalkan syarikat itu kepada pelanggaran tersebut. Jika boleh, kami juga akan memberi amaran kepada mereka yang terjejas oleh pelanggaran tersebut.

Pasukan kami dapat mengakses pangkalan data ini kerana ia benar-benar tidak selamat dan tidak disulitkan. 

Syarikat menggunakan pangkalan data Elasticsearch, yang biasanya tidak direka untuk kegunaan URL. Walau bagaimanapun, kami dapat mengaksesnya menerusi penyemak imbas dan memanipulasi kriteria carian URL untuk mendedahkan schemata dari indeks tunggal pada bila-bila masa. 

Tujuan projek pemetaan web ini adalah untuk membantu menjadikan internet lebih selamat untuk semua pengguna. 

Sebagai penggodam etika, kami diwajibkan memaklumkan sebuah syarikat apabila kita mendapati kecacatan dalam keselamatan dalam talian mereka. Ini benar terutamanya apabila pelanggaran data syarikat mengandungi maklumat peribadi sedemikian.

Walau bagaimanapun, etika ini juga bermaksud kita membawa tanggungjawab kepada orang ramai. Pengguna lazat mesti sedar tentang pelanggaran data yang memberi impak kepada mereka juga.

Tentang Kami dan Laporan Terdahulu

vpnMentor adalah laman web kajian VPN terbesar di dunia. Makmal penyelidikan kami adalah perkhidmatan pro bono yang berusaha untuk membantu komuniti dalam talian mempertahankan dirinya daripada ancaman siber sambil mendidik organisasi untuk melindungi data pengguna mereka. Kami baru-baru ini menemui pelanggaran data yang besar yang menjejaskan 80 juta isi rumah AS. Kami juga mendedahkan bahawa pelanggaran di Biostar 2 telah menjejaskan data biometrik lebih daripada 1 juta orang. Anda juga mungkin mahu membaca Laporan Kebocoran VPN dan Statistik Statistik Data kami.

Brayan Jackson Administrator
Candidate of Science in Informatics. VPN Configuration Wizard. Has been using the VPN for 5 years. Works as a specialist in a company setting up the Internet.
follow me