Laporkan: VEED.io Memaparkan Video Pengguna Pribadi dalam Kebocoran Data


Tim peneliti vpnMentor, yang dipimpin oleh analis terkenal Noam Rotem dan Ran Locar, baru-baru ini ditemukan pelanggaran keamanan dalam database milik platform pengeditan video VEED.io.

VEED yang berbasis di London memberi pengguna alat untuk unggah video dan optimalkan untuk berbagi di media sosial. Dengan lebih 50.000 pengguna di seluruh dunia, basis pelanggan mereka termasuk materi iklan, influencer, bisnis perusahaan, dan pengguna media sosial biasa. 

Basis data yang dilanggar membahayakan privasi setiap pengguna VEED, memaparkan semua konten yang diunggah ke platform dalam bentuk mentah, belum diedit. Ini termasuk video pribadi yang sangat sensitif. 

Garis Waktu Penemuan dan Reaksi Pemilik

Terkadang, tingkat pelanggaran data dan pemilik basis data sudah jelas, dan masalah ini dengan cepat terselesaikan. Tetapi jarang kali ini. Paling sering, kita perlu hari penyelidikan sebelum kita memahami apa yang dipertaruhkan atau siapa yang membocorkan data.

Memahami pelanggaran dan potensi dampaknya membutuhkan perhatian dan waktu yang cermat. Tim kami harus teliti dan memastikan semua yang kami temukan benar dan benar. Kadang-kadang, pihak-pihak yang terkena dampak menyangkal fakta, mengabaikan penelitian kami atau mengecilkan dampaknya. 

Untungnya, kali ini tim dengan cepat mengidentifikasi VEED sebagai pemilik data. Diinangi pada Amazon Web Services (AWS), basis datanya adalah S3 Bucket - bentuk penyimpanan umum pada AWS. 

Kami menghubungi perusahaan untuk memberi tahu mereka tentang kerentanan, namun, perlu beberapa minggu sebelum kami menerima balasan. Sementara itu, kami juga menghubungi AWS secara langsung untuk memberi tahu mereka tentang masalah ini. Begitu AWS menjangkau VEED, pelanggaran ditutup. 

  • Tanggal ditemukan: 12/10
  • Tanggal vendor dihubungi: 15/10
  • Tanggal kontak dengan AWS: 27/10
  • Tanggal balasan dari AWS: 29/10
  • Tanggal Aksi: Perkiraan. 05/11
  • Tanggal Balas dari VEED: 21/11/19

Contoh Entri dalam Database

Bucket AWS berisi 10.000 video dalam bentuk mentah dan diedit. Ini sudah diunggah oleh pengguna VEED di seluruh dunia dan termasuk materi pemasaran, video keluarga, dan bahkan pornografi buatan sendiri. 

Itu juga mungkin beberapa video menyertakan berbagai bentuk konten ilegal.

Peneliti kami adalah dapat mengakses dan melihat, secara teori, konten apa pun yang diunggah ke VEED, terlepas dari apakah itu dibuat untuk tampilan pribadi atau publik. 

Dampak Pelanggaran Data

Pelanggaran data ini merupakan kesalahan serius dalam protokol keamanan dasar untuk VEED. Dengan memaparkan seluruh database mereka dari konten yang dibuat pengguna, mereka mempertaruhkan privasi pelanggan mereka, serta seluruh bisnis mereka. 

Keamanan data menjadi perhatian yang semakin meningkat bagi semua pengguna internet terlepas dari situs web, alat, atau platform apa yang mereka gunakan. Bisnis yang menggunakan VEED untuk tujuan pemasaran dan promosi akan menjadi perhatian mereka konten pribadi terbuka untuk umum sebelum dirilis, berpotensi menyebabkan hilangnya klien atau tindakan hukum perusahaan.

Demikian pula, jika beberapa video menyertakan konten ilegal, ini bisa membuatnya VEED bertanggung jawab atas tindakan hukum. 

Untuk pengguna individu, basis data yang terbuka membahayakan mereka secara pribadi. Tidak jelas file video mana yang dimaksudkan untuk penggunaan pribadi dan yang dimaksudkan untuk diunggah ke media sosial. 

Ambil contohnya, materi pornografi. 

Pembuat video ini akan merasa tidak nyaman karena dapat diakses oleh publik. Ini adalah lebih serius daripada hanya berpotensi memalukan: pornografi pribadi, intim, buatan sendiri adalah alat yang berharga dalam pemerasan dan pemerasan. 

Penjahat dan peretas jahat dapat video ini terhadap pencipta mereka untuk menargetkan mereka dengan berbagai cara, dengan konsekuensi yang merusak, secara pribadi dan finansial.

Nasihat dari Para Ahli

VEED bisa dengan mudah menghindari kebocoran ini jika mereka telah mengambil beberapa langkah keamanan dasar untuk melindungi Bucket S3. Perusahaan mana pun dapat meniru langkah-langkah berikut, tidak peduli ukurannya:

  1. Amankan server Anda.
  2. Terapkan aturan akses yang tepat.
  3. Jangan pernah meninggalkan sistem yang tidak memerlukan otentikasi terbuka ke internet.

Untuk panduan yang lebih mendalam tentang cara melindungi bisnis Anda, lihat panduan kami untuk mengamankan situs web dan basis data online Anda dari peretas.

Untuk VEED Pengguna

Tidak seperti kebanyakan kebocoran data yang kami temukan dan analisis, mengubah detail login akun Anda tidak akan membuat perbedaan di sini. Kebocoran konten video yang terbuka diunggah ke VEED tanpa memerlukan detail login pengguna untuk mengaksesnya.

Untuk alasan ini, terserah VEED untuk menutup pelanggaran dan melindungi video dari pihak luar. 

Jika Anda adalah pengguna VEED dan khawatir tentang dampak pelanggaran ini terhadap Anda, hubungi mereka dan tanyakan langkah apa yang mereka ambil. 

Untuk mempelajari tentang kerentanan data secara umum dan cara melindungi Anda dari kebocoran, baca kami panduan lengkap untuk privasi online.

Ini menunjukkan kepada Anda banyak cara penjahat cyber menargetkan pengguna internet, dan langkah-langkah yang bisa Anda ambil untuk tetap aman.

Bagaimana dan Mengapa Kami Menemukan Pelanggaran

Tim peneliti vpnMentor menemukan pelanggaran di basis data VEED sebagai bagian dari proyek pemetaan web yang sangat besar. Peretas kami menggunakan pemindaian port untuk memeriksa blok IP tertentu dan menguji lubang terbuka di sistem untuk mengetahui kelemahannya. Mereka memeriksa setiap lubang untuk data yang bocor. 

Ketika mereka menemukan pelanggaran data, mereka menggunakan teknik ahli untuk memverifikasi identitas basis data. Kami kemudian memperingatkan perusahaan untuk melakukan pelanggaran. Jika memungkinkan, kami juga akan memberi tahu mereka yang terkena dampak pelanggaran.

VEED menggunakan database S3 Bucket terbuka di AWS, yang belum merekaamankan dengan benar. Sementara AWS menyediakan alat untuk mengamankan ember, membuatnya tidak dapat diakses oleh pihak luar, terserah kepada pelanggan mereka untuk menggunakannya. 

Kami dapat mengakses Bucket S3 VEED karena itu benar-benar tidak aman dan tidak dienkripsi. Menggunakan browser web, tim dapat mengakses semua file yang dihosting di database.

Tujuan dari proyek pemetaan web ini adalah untuk membantu menjadikan internet lebih aman untuk semua pengguna. 

Sebagai peretas etis, kami berkewajiban untuk memberi tahu perusahaan ketika kami menemukan kelemahan dalam keamanan online mereka. Ini terutama benar ketika pelanggaran data perusahaan berisi informasi sensitif dan merusak tersebut.

Etika ini juga berarti kami membawa tanggung jawab kepada publik. Pengguna VEED harus mengetahui adanya pelanggaran data yang berdampak pada mereka.

Tentang Kami dan Laporan Sebelumnya

vpnMentor adalah situs web tinjauan VPN terbesar di dunia. Laboratorium penelitian kami adalah layanan pro bono yang berupaya untuk membantu komunitas online mempertahankan diri terhadap ancaman dunia maya sembari mendidik organisasi untuk melindungi data pengguna mereka. 

Kami baru-baru ini menemukan pelanggaran data besar yang berdampak pada 80 juta rumah tangga AS. Kami juga mengungkapkan bahwa pelanggaran di Biostar 2 membahayakan data biometrik lebih dari 1 juta orang. Anda mungkin juga ingin membaca Laporan Kebocoran VPN dan Laporan Statistik Privasi Data kami.

Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me