国外成人色情网站CAM4数据库泄露 包含高达7TB/108.8亿条用户数据信息
比如最近国外成人色情网站CAM 4因数据服务器配置错误,导致高达7TB的用户信息暴露在公网上可能已被下载。
这些数据库合计包含高达108.8 亿条用户数据信息,里面的数据既有用户的个人身份信息也有各种在线聊天记录。
尽管目前无法确认该数据库是否已经被黑客下载,但如果这些数据暴露的话可能会对该网站会员造成隐私泄露等。
没错又是Elasticsearch集群配置错误:
在过去几年里蓝点网已经陆续报道过多次因为Elasticsearch搜索集群配置错误而酿成的严重级别的数据泄露事故。
Elasticsearch是个非常著名数据搜索引擎,该搜索引擎几乎被所有主流科技公司使用,但其配置方面却存在问题。
主要是该搜索引擎默认情况下并未配置访问密码,因此如果集群服务器部署在公网上,就会导致任何人均可访问。
此次CAM4犯下的错同样是没有配置访问密码且暴露在公网上,任何人扫描到该服务器后即可直接下载所有数据。
在色情网站聊骚没想到聊天记录还会被泄露吧?
该网站除常规的提供成人色情视频外,还支持在线聊天让网站之间的注册会员们可以在影片下方评论和私信交流。
而这些聊天记录都是保存在数据库里不会被删除的,此次该网站集群服务器暴露也直接导致用户的聊骚记录泄露。
当然数据库里包含的数据远远不只是聊天记录,研究人员检查发现包括用户的电子邮件等多种信息都被直接暴露。
甚至还包括个别用户的付款方式即信用卡的卡号和真实姓名等,此外诸如用户账号密码、性取向等数据也被泄露。
用户可能会遭遇欺诈和勒索:
尽管目前该集群服务器已经下线但没人知道这高达百亿级别的数据是否被下载,如果被下载那么后果将不堪设想。
因为攻击者可以利用其中的用户信息群发钓鱼邮件、撞库、盗取财务记录,撞库则可能造成用户其他账号也被黑。
而欺诈和勒索分子则可以利用用户的性内容聊天记录对用户进行勒索,比如用户不支付赎金则向其亲朋好友公开。
这种欺诈和勒索方式此前已经发生过,因此CAM4的数据如果真的已经泄露的话显然也会让大量用户遭遇该问题。
感觉GDPR已经在路上:
这家成人色情网站属于欧盟成员国的爱尔兰,同时爱尔兰本身也是欧盟地区主要隐私安全监管机构的所在地之一。
此次数据泄露目前还没有更多消息,但是如果用户数据已经泄露的话,该网站则会触犯欧盟的通用数据保护条例。
尤其是此次数据泄露牵涉大量用户的敏感信息,若按通用数据保护条例来触发的话,可能会一次性直接罚到破产。
当然这些都是题外话了,目前该网站很多用户担心自己的隐私情况,也有用户表示注册会员账号可能就是个错误。