成人网站泄露 108 亿数据,内含 50 万中国用户
文章图片
近日 , 据外媒BleepingComputer报道 , 因Elasticsearch集群错误配置 , 成人视频网站CAM4发生重大数据泄露事件 。
泄露108亿条记录的成人视频网站
据悉 , 本次泄露的数据量超7TB , 存储着超过108亿条记录 。 由于一个错误配置的Elasticsearch集群导致CAM4的生产数据库在网上公开 , 因此数据被泄露 。
文章图片
由安全研究者AnuragSen领导的一个SafetyDetectives团队发现了CAM4不安全的数据库 。 该团队在报告此事后 , CAM4的母公司很快下线数据库 。
研究人员发现 , 在108亿条记录中 , 有1100万份包含电子邮件地址 , 另有26392701份包含CAM4用户和网站系统的密码散列 。
据了解 , CAM4主要面向欧美受众 , 它是一个广受欢迎的成人直播平台 , 不少素人会通过直播摄像头在该平台上直播成人内容 。 CAM4每年有近20亿访客 , 其成员每周在上面花费的时间超过100万个小时 , 平台每天播放超过75999个私人节目 。
根据研究者分析 , 本次泄露的数据包含大量个人身份信息(PII) , 涵盖姓名、性取向、电子邮件、IP地址、支付记录和聊天记录等 。 具体数据类型如下:
姓名电子邮件地址出生地注册日期性别偏好和性取向设备信息其他用户细节 , 比如口语用户名支付记录 , 包括信用卡类型、支付金额等用户对话邮件往来记录用户和CAM4的聊天记录令牌信息密码hashesIP地址FrauddetectionlogsSpamdetectionlogs全球多国用户受影响 , 包括超50万的中国用户
基于CAM4不安全的数据库 , SafetyDetectives团队分析了每个国家受影响的用户数 。 其中 , 本次泄露事件涉及近660万美国用户、530万巴西用户 。 值得注意的是 , 泄露事件还影响到超过53万的中国用户 。
文章图片
此外 , 本次泄露事件还影响到480万意大利用户、410万法国用户、300万德国用户、245万西班牙用户和160万英国用户 。
研究者称 , “安全团队还发现了26392701条带有散列密码的条目 , 其中一部分属于CAM4.com用户 , 一部分来自网站系统资源 。 ”
针对此次数据泄露 , CAM4公司在一份声明中表示 , “毫无疑问 , 包括姓名、地址、电子邮件、IP地址或财务数据在内的任何个人身份信息 , 都没有被SafetyDetectives团队和CAM4调查人员之外的人所访问 。 ”
不过 , 如此包含大量且详细信息的数据泄露事件 , 危害极大 。 因为攻击者可能以CAM4用户和成员为目标 , 利用泄露的个人身份数据(PII) , 实施多种攻击 , 包括鱼叉式钓鱼攻击、勒索活动、身份窃取和多种类型的欺诈活动等 。
Elasticsearch数据泄露 , 你该怎么办?
【成人网站泄露 108 亿数据,内含 50 万中国用户】除CAM4外 , 法国《费加罗报》同样因Elasticsearch配置错误而发生数据泄露 , 泄露74亿条记录 , 超8TB数据在网上公开 。
上述两起重大数据泄露事件均与Elasticsearch有关 。 此前 , InfoQ已经报道过多起Elasticsearch数据泄露 , 比如Elasticsearch在2019年1月发生6起数据泄露事件:
百安居发生数据泄露 , 70000起店内盗窃案的信息流出;在线赌场泄漏1.08亿投注信息;美国多家大银行贷款文件遭泄露 , 文件数量达2400万;青年学生组织AIESEC的400万条志愿者信息泄露;VOIPO超百万的电话和短信数据泄露;IT安全和云数据管理公司Rubrik发生大规模数据泄露 。对于Elasticsearch有关的数据泄露事件 , Elasticsearch中文社区深圳分会杨振涛曾表示:
不少开发人员及其团队在认知上更多地把Elasticsearch看成是与MySQL同等的存储系统 , 所以在部署以后并没有太多地关心其访问控制策略和数据安全 。 而且Elastisearch开箱即用的特点也让开发和运维人员放松了对安全的重视 。
如何避免Elasticsearch在使用时发生数据泄露 , 杨振涛也给出几个建议:
服务器必须要有防火墙 , 不能随意对外开放端口;Elasticsearch集群的端口包括TCP和HTTP , 都不能暴露在公网;Elasticsearch集群禁用批量删除索引功能;Elasticsearch中保存的数据要做基本的脱敏处理;加强监控和告警 , 能够在安全事件发生的第一时间感知并启动紧急预案 , 将损失降到最低 。关注我并转发此篇文章 , 私信我“领取资料” , 即可免费获得InfoQ价值4999元迷你书!
推荐阅读
![[孩子]熊孩子又被卡头了!这次是这里](http://res.cjrbapp.cjn.cn/a/10001/201909/9f54057298a139a25702070cc370a9c2.jpeg)
- 白宫新闻秘书公开展示总统捐款支票,不料却泄露了特朗普私人账户信息
- 老外从中国购得开发样机:iOS 14被提前泄露上网
- 连网络攻击都防不了?日本研发高超音速导弹,结果被黑客全泄露了
- 【网信动态】县委网信办就县域内网站平台“四有”建设情况进行督导检查
- 今年iOS 14在网上流传:是如何泄露的呢?
- 特朗普白宫,就这样泄露了特朗普私人账户信息!
- 投资者提问:请问:2020年4月豌豆及大豆的价格各是多少?从哪个网站可以知...
- 拍摄007电影为防泄露,保密工作如同情报局
- 虚幻5笔记本运行信息泄露,PC端或体验更佳
- 国家卫生健康委员会官方网站31省区市21日新增4例:本土2例 境外输入2例