信息化觀察網(wǎng)

銀行流水?dāng)?shù)據(jù)不能隨便泄漏，成人網(wǎng)站的瀏覽信息那可就更加敏感了。

最近，從Zoom到三星手機(jī)，從數(shù)據(jù)公司到娛樂(lè)明星，互聯(lián)網(wǎng)公司的信息泄漏事件頻發(fā)，文摘菌都覺(jué)得有點(diǎn)“寫(xiě)不過(guò)來(lái)”。

沒(méi)有絕對(duì)安全的系統(tǒng)，科技公司的大量數(shù)據(jù)存儲(chǔ)、暴露在互聯(lián)網(wǎng)上，難免中招，但是，如果這家公司運(yùn)營(yíng)的是一項(xiàng)成人直播服務(wù)，那么它的數(shù)據(jù)包就更需要小心對(duì)待了。

近日，一家名叫CAM4的成人視頻網(wǎng)站遭遇數(shù)據(jù)泄漏，數(shù)據(jù)內(nèi)容極其詳細(xì)豐富，包含7tb的姓名、性取向、支付記錄、電子郵件和聊天記錄——總計(jì)108.8億條記錄被曝光。

CAM4是主要面向歐美受眾，一個(gè)廣受歡迎的成人直播平臺(tái)，不少素人會(huì)通過(guò)直播攝像頭在平臺(tái)上直播成人內(nèi)容。就安全審查網(wǎng)站Safety Detectives報(bào)道，其發(fā)現(xiàn)CAM4配置了錯(cuò)誤的ElasticSearch生產(chǎn)數(shù)據(jù)庫(kù)，因此很容易查找和查看大量用戶身份信息以及欺詐和垃圾郵件檢測(cè)日志。

包含1100萬(wàn)條電子郵件記錄，超過(guò)5萬(wàn)名受害者為中國(guó)用戶

“CAM4公司的生產(chǎn)服務(wù)器在沒(méi)有任何密碼的情況下暴露在公眾面前，這對(duì)用戶和公司都是非常危險(xiǎn)的。”安全偵探研究員Anurag Sen說(shuō)，他的團(tuán)隊(duì)發(fā)現(xiàn)了這起數(shù)據(jù)泄漏事件。

泄漏數(shù)據(jù)中包含約1100萬(wàn)條電子郵件記錄，其中包含電子郵件信息，一些條目包含了來(lái)自多個(gè)國(guó)家/地區(qū)的用戶相關(guān)的多個(gè)電子郵件地址。盡管并未列出所有受影響的國(guó)家/地區(qū)，但據(jù)SafetyDetectives團(tuán)隊(duì)獲得了暴露電子郵件記錄的國(guó)家/地區(qū)視圖。

從下圖中可以看到，本次泄露事件危及大約660萬(wàn)美國(guó)CAM4用戶、540萬(wàn)巴西用戶、490萬(wàn)意大利用戶、420萬(wàn)法國(guó)用戶，以及53萬(wàn)以上的中國(guó)用戶。不出所料的是，由于阿聯(lián)酋、沙特阿拉伯和伊朗等國(guó)家/地區(qū)禁止在國(guó)內(nèi)發(fā)布成人內(nèi)容，這些國(guó)家/地區(qū)的條目均為0。

除此之外，安全團(tuán)隊(duì)還發(fā)現(xiàn)了26,392,701條帶有散列密碼的條目，其中一部分屬于CAM4.com用戶，一部分來(lái)自網(wǎng)站系統(tǒng)資源。

泄漏數(shù)據(jù)內(nèi)容詳細(xì)，無(wú)黑客攻擊直接證據(jù)

要強(qiáng)調(diào)的是，目前還沒(méi)有證據(jù)表明CAM4被黑了，也沒(méi)有證據(jù)表明數(shù)據(jù)庫(kù)被惡意行為者訪問(wèn)了，但這并不意味著沒(méi)有被黑客竊取數(shù)據(jù)。

CAM4不是唯一一家犯下相關(guān)錯(cuò)誤的公司，ElasticSearch服務(wù)器的問(wèn)題是造成無(wú)數(shù)備受關(guān)注的數(shù)據(jù)泄露的原因。通常這類(lèi)服務(wù)器僅供內(nèi)部使用，但一旦配置錯(cuò)誤使其處于在線狀態(tài)，沒(méi)有密碼保護(hù)，就會(huì)存在巨大的安全隱患。

安全顧問(wèn)Bob Diachenko說(shuō)，“對(duì)我來(lái)說(shuō)，看到大量暴露的ElasticSearch實(shí)例其實(shí)非常常見(jiàn)。但令人驚訝的是這次公布數(shù)據(jù)的詳細(xì)程度。”

這次被泄露的數(shù)據(jù)有多詳細(xì)呢？

據(jù)報(bào)道，CAM4泄露的數(shù)據(jù)清單非常全面，所發(fā)現(xiàn)的安全偵探的生產(chǎn)記錄可追溯到今年3月16日。除了上述類(lèi)別的信息外，它們還包括原產(chǎn)國(guó)、注冊(cè)日期、設(shè)備信息、語(yǔ)言偏好、用戶名、散列密碼以及用戶與公司之間的電子郵件通信。

用戶密碼等信息

研究人員發(fā)現(xiàn)，在108.8億份記錄中，有1100萬(wàn)份包含電子郵件地址，另有26,392,701份包含CAM4用戶和網(wǎng)站系統(tǒng)的密碼散列。

“有問(wèn)題的服務(wù)器是一個(gè)來(lái)自許多不同來(lái)源的日志聚合服務(wù)器，但是服務(wù)器被認(rèn)為是非機(jī)密的，”Krieg說(shuō)。“這93條記錄進(jìn)入了日志，這是由于一名開(kāi)發(fā)人員在調(diào)試問(wèn)題時(shí)犯了一個(gè)錯(cuò)誤，但當(dāng)日志文件發(fā)生錯(cuò)誤時(shí)，卻意外地記錄這些。”

不過(guò)目前仍無(wú)法確定這次的數(shù)據(jù)泄露在多大程度上影響到主播和觀看用戶，同樣，沒(méi)有跡象表明不良參與者會(huì)利用所有這些字節(jié)數(shù)據(jù)。

Sen表示，CAM4的母公司Granity Entertainment在研究人員聯(lián)系后的半小時(shí)內(nèi)，迅速使有問(wèn)題的服務(wù)器脫機(jī)，雖然這并不足以彌補(bǔ)泄露的發(fā)生，但是至少可以看出，公司的響應(yīng)是迅速的。

此外，盡管站點(diǎn)和涉及數(shù)據(jù)具有敏感性，但實(shí)際上很難將這些信息與用戶的真實(shí)姓名聯(lián)系起來(lái)。Diachenko說(shuō)：“黑客確實(shí)必須深入研究日志，找到任何能將用戶與真人聯(lián)系起來(lái)的證據(jù)，或能揭示真實(shí)身份的東西。”

“當(dāng)然，它不應(yīng)該在網(wǎng)上公開(kāi)，但是我會(huì)說(shuō)，這不是我見(jiàn)過(guò)的最可怕的事情。”

CAM4公司稱(chēng)無(wú)第三方獲取這批數(shù)據(jù)，但潛在威脅無(wú)法忽視

CAM4公司在一份聲明中表示：“毫無(wú)疑問(wèn)，包括姓名、地址、電子郵件、IP地址或財(cái)務(wù)數(shù)據(jù)在內(nèi)的任何個(gè)人身份信息，都沒(méi)有被SafetyDetectives和CAM4公司調(diào)查人員以外的任何人訪問(wèn)。”

該公司還說(shuō)，能夠確認(rèn)身份的實(shí)際用戶遠(yuǎn)遠(yuǎn)少于曝光記錄的驚人數(shù)量。管理CAM4數(shù)據(jù)庫(kù)的Smart-X的技術(shù)總監(jiān)Kevin Krieg稱(chēng)，支付和付款信息可能已經(jīng)暴露了93個(gè)人（主播和觀看用戶混在一起）。SafetyDetectives可能把這個(gè)數(shù)字定為“幾百”。

但是，試想如果有人進(jìn)行了這種挖掘，那么他們可能已經(jīng)得到了相當(dāng)多人的信息，包括性取向，從而對(duì)那些人進(jìn)行勒索。甚至，更普遍的影響是，CAM4用戶就算重新使用密碼也面臨著憑據(jù)填充攻擊（credential stuffing attacks）的風(fēng)險(xiǎn)，從而在不使用強(qiáng)大唯一憑據(jù)的情況下暴露任何賬戶。

或者反過(guò)來(lái)看，Sen表示，如果你擁有了這些CAM4用戶的電子郵件地址，你就完全有能力從先前的數(shù)據(jù)泄露中找到關(guān)聯(lián)密碼，然后登錄這些人的賬戶。

同時(shí)，被泄漏的數(shù)據(jù)也可能使CAM4面臨風(fēng)險(xiǎn)，特權(quán)欺詐和垃圾郵件檢測(cè)信息將為潛在的攻擊者提供如何繞過(guò)這些防御的路線圖。

Krieg說(shuō)，CAM4已經(jīng)采取措施防止再次發(fā)生類(lèi)似的數(shù)據(jù)泄漏事件。他說(shuō)：“這是一臺(tái)服務(wù)器，首先不應(yīng)具有面向外部的IP。”“我們將把其移入內(nèi)部局域網(wǎng)，使人們更難訪問(wèn)，同時(shí)確保上面沒(méi)有不應(yīng)該任何敏感內(nèi)容，包括可識(shí)別出個(gè)人身份的信息。”

數(shù)據(jù)泄漏事件頻發(fā)，雖然數(shù)據(jù)泄露不比違反互聯(lián)網(wǎng)規(guī)定，但是面對(duì)如此敏感的信息被泄露，公司有責(zé)任采取一切預(yù)防措施來(lái)保護(hù)它，而不是最低要求。