CAM4成人视频网站遭遇数据泄露,108.8亿条记录曝光,涉及53万中国用户。
近日,主要面向欧美受众的成人直播平台CAM4遭遇重大数据泄露事件。
泄露的数据总量达7TB,包含极其详细和丰富的用户信息,总计108.8亿条记录。
数据泄露的内容包括姓名、性取向、支付记录、电子邮件和聊天记录等敏感信息。
电子邮件记录:泄露数据中包含约1100万条电子邮件记录,涉及多个国家/地区的用户。
受影响用户数量:
美国:约660万用户
巴西:约540万用户
意大利:约490万用户
法国:约420万用户
中国:超过53万用户
其他敏感信息:数据还包括原产国、注册日期、设备信息、语言偏好、用户名、散列密码以及用户与公司之间的电子邮件通信。
泄露原因与安全性问题
配置错误的ElasticSearch生产数据库:CAM4的生产服务器在没有任何密码保护的情况下暴露在公众面前,导致数据容易被查找和查看。
无直接黑客攻击证据:目前没有证据表明CAM4被黑客攻击或数据库被恶意行为者访问,但由于服务器配置错误,数据泄露的风险极高。
ElasticSearch服务器问题:ElasticSearch服务器的问题已造成多次备受关注的数据泄露事件。这类服务器通常仅供内部使用,一旦配置错误并处于在线状态,且没有密码保护,就会存在巨大的安全隐患。
CAM4公司的回应与措施
迅速响应:CAM4的母公司Granity Entertainment在研究人员联系后的半小时内,迅速使有问题的服务器脱机。
声明内容:
强调没有任何个人身份信息被第三方访问。
指出能够确认身份的实际用户数量远少于曝光记录的数量。
承认支付和付款信息可能已经暴露了93个人(主播和观看用户混在一起)。
预防措施:
将服务器移入内部局域网,降低外部访问风险。
确保服务器上不存储任何敏感内容,包括可识别出个人身份的信息。
用户风险:
用户面临凭据填充攻击的风险,尤其是在不使用强大唯一凭据的情况下。
泄露的性取向等敏感信息可能被用于勒索用户。
公司风险:
泄露的数据可能为潜在的攻击者提供如何绕过防御的路线图,增加特权欺诈和垃圾邮件检测的难度。
普遍影响:数据泄露事件频发,公司有责任采取一切预防措施来保护用户数据,而不仅仅是满足最低要求。
