成人视频直播网站Stripchat 2亿条数据泄露

成人视频直播网站Stripchat 2亿条数据泄露

Stripchat公告

通过持续监控我们的安全控制,我们的技术团队在服务器的例行重新配置期间检测到临时数据泄露。我们的团队立即采取行动解决问题并保护我们的系统。服务器和数据现在是安全的,我们目前正在调查该站点的用户可能受到的影响程度。

根据我们迄今为止收集的数据,我们确信密码、付款详细信息和帐户验证文件没有被访问。

在数据泄露期间可以访问哪些数据:

成人视频直播网站Stripchat 2亿条数据泄露
  • 在网站上注册的一些用户的数据(用户名、电子邮件、IP 地址、ISP 详细信息、小费余额、帐户创建日期、上次登录日期、帐户状态)
  • 本站播放的部分模特数据(用户名、性别、工作室ID、直播状态、提示菜单/价格、stripscore)
  • 在网站上进行的交易数据(有关用户支付给模特的代币和小费的信息)
  • 网站上传的媒体标题数据

我们要强调的是,没有访问私人聊天消息的权限被暴露。此外,上面提到的大部分内容,如用户名、性别、提示菜单等,可供浏览网站的任何用户使用。

我们还与数据保护机构保持联系,采取所有必要的行动来减少任何潜在的违规危害。

Stripchat 非常重视其用户和模特的安全性,并使用一流的协议来保护敏感信息。我们正在调查有关违规的情况,并会在我们了解有关任何潜在影响的更多信息时通知您。

您可以随时在我们的TwitterReddit上查看最新消息。

数据泄露详情

202111 月 15 日——Stripchat 现在承认发生了违规事件。除了继续对事件进行调查外,他们还表示正在与数据保护机构进行沟通,以减少任何潜在的伤害。

由 Bob Diachenko 领导的 Comparitech 网络安全研究团队发现了一个暴露的数据库,该数据库似乎属于性爱视频直播网站 Stripchat。

暴露的数据库多次引用 Stripchat,包含近 2 亿条记录。暴露的数据包括电子邮件地址、用户名和 IP 地址以及其他信息,这些信息似乎与站点的用户和模特有关。

根据我们负责任的披露政策,Comparitech 于 2021 年 11 月 5 日发现了暴露的数据库并通知了 Stripchat。数据库在两天后得到保护。

成人视频直播网站Stripchat 2亿条数据泄露

曝光可能会给 Stripchat 的浏览者和模特带来重大的隐私风险。如果数据被盗,他们可能会面临在线和离线的骚扰、羞辱、跟踪、勒索、网络钓鱼和其他威胁。

我们通常的流程是联系受影响的一方,以便他们调查事件并采取适当的措施,包括通知受影响的用户。

我们通过电子邮件和 Twitter 多次联系 Stripchat,但在发布时,Stripchat 没有回应或承认我们的披露或评论请求。

曝光时间线

无需密码或任何其他身份验证即可在 Internet 上访问该数据库。这是我们所知道的事情:

  • 2021 年 11 月 4 日 – 该数据库已被搜索引擎编入索引。
  • 2021 年 11 月 5 日——Diachenko 发现了数据库,确定了所有者,并根据我们负责任的披露政策向 Stripchat 发送了警报。
  • 2021 年 11 月 7 日 - 该数据库不再可用。
成人视频直播网站Stripchat 2亿条数据泄露

我们不知道数据库在被搜索引擎索引之前暴露了多长时间。我们的蜜罐实验表明,攻击者可以在几个小时内找到并访问未受保护的数据库。

暴露了什么信息?

Elasticsearch 集群总共包含大约 2 亿条记录,由几个数据库组成:

成人视频直播网站Stripchat 2亿条数据泄露

包含大约 6500 万条记录的用户数据库,每条记录都包含以下部分或全部信息:

  • 电子邮件地址
  • 用户名
  • IP地址
  • 互联网服务提供商
  • 小费
  • 账户创建时间戳
  • 上次活动的时间戳
  • 封锁状态

包含约 421,000 条记录的模特数据库,每条记录包含以下部分或全部信息:

  • 用户名
  • 性别
  • 工作室 ID
  • 直播状态
  • 提示菜单和价格
  • 得分

成人视频直播网站Stripchat 2亿条数据泄露

一个包含大约 1.34 亿条记录的交易数据库,其中包含有关用户向模特支付的代币和小费的信息,包括私人小费。

成人视频直播网站Stripchat 2亿条数据泄露

发送给模特的大约 719,000 条聊天消息的审核数据库,包括私人和公共消息。每条记录都包含发送消息的查看者的用户 ID。

暴露数据的危险

曝光对于 Stripchat 观众和模特来说可能是一种数字和物理威胁。IP 地址可用于估算某人的位置,尤其令人担忧。他们可以让某人找到并跟踪、骚扰甚至攻击数据库中的某人。

除了身体暴力之外,身份识别信息还可用于勒索、欺凌或羞辱认为其在线活动是私密的受害者。

最后,受害者应该注意冒充 Stripchat 或相关公司的欺诈者发送的有针对性的网络钓鱼电子邮件。切勿点击未经请求的电子邮件中的链接或附件。

关于 Stripchat

Stripchat 是一个仅限成人的网站,提供实时网络摄像头表演,通常是裸体或性活动。该公司成立于 2016 年,在塞浦路斯注册成立。

公司博客文章指出,在 Covid-19 大流行开始后,Stripchat 的流量在 2020 年增长72%其中包括超过 9 亿的新用户和 30 万个新模特。

用户无需注册帐户即可查看公共摄像头,但需要一个帐户才能打赏、聊天或将会话设为私密。

为什么我们要报告此事件

Comparitech 的网络安全研究团队定期在网络上搜索包含个人身份用户信息的不安全数据库。当我们发现未受保护的服务器时,我们会立即开始调查,以查明它属于谁、谁可能受到影响以及对最终用户的潜在后果。

在核实责任方的身份后,我们会根据我们的责任披露政策提醒他们。一旦数据得到保护并且我们的调查完成,我们就会发布一篇这样的文章,以提高网络安全意识并遏制对最终用户的伤害。

from

转载请注明出处及链接

Leave a Reply

您的电子邮箱地址不会被公开。 必填项已用*标注