Informe: el lloc per a adults filtra dades extremadament sensibles d’actors porno


L’equip d’investigació en ciberseguretat vpnMentor, liderat per Noam Rotem i Ran Locar, han descobert una filtració S3 Bucket amb 19,95 GB de dades visibles en un servidor d’Amazon basat a Virginia, pertanyent a PussyCash i la seva xarxa..

PussyCash és una xarxa d’afiliació explícita “cam” que posseeix la marca ImLive i altres llocs web similars orientats a adults. Aquesta filtració ha exposat les dades personals i la semblança de més de 4.000 actors porno entre més de 875.000 fitxers i té implicacions a la vida real d’alt risc..

Perfil de l’empresa PussyCash

El propietari de ImLive i PussyCash apareix oficialment en la categoria I.M.L. SLU, empresa registrada a Andorra.

PussyCash acull programes d’afiliació per a diversos llocs per a adults, pagant administradors web pel trànsit enviat als llocs mitjançant pancartes i el tràfic de sortida. Disposen de 66 milions de membres registrats a la seva àrea de xat de càmera web, ImLive, sols. Altres llocs inclouen Sexier.com, FetishGalaxy, Supermen.com, Shemale.com, CamsCreative.center, forgetvanilla.com, idesires.com, Phonemates.com, SuperTrip.com i sex.sex, entre d’altres..

Els socis que figuren al lloc web de PussyCash inclouen BeNaughty, Xtube i Pornhub.

Cronologia del descobriment i la reacció del propietari

De vegades, l’abast d’un incompliment de dades i el propietari de les dades són evidents i el problema es resol ràpidament. Però són rares aquestes èpoques. Molt sovint necessitem dies d’investigació per entendre què hi ha en joc o qui està filtrant les dades.

Comprendre un incompliment i el que hi ha en joc requereix una atenció i un temps especials. Treballem intensament per publicar informes precisos i de confiança, assegurant que tothom que els llegeixi entengui la seva serietat.

Algunes parts afectades neguen els fets, prescindint de la nostra investigació o fent-ne constància. Per tant, hem de ser exhaustius i assegurar-nos que tot el que trobem és correcte i cert.

En aquest cas, el descobriment inicial ens va portar a creure que la fuita es limitava només a uns quants registres només en un cub ImLive. Tot i això, al final hem trobat fitxers que indiquen que PussyCash és finalment el propietari del contenidor de Amazon Simple Storage Service (S3) d’Amazon..

Data descoberta: 3 de gener de 2020
Data de l’empresa (PussyCash & ImLive) notificat: 4 de gener de 2020
Dades notificades per Amazon: 7 de gener de 2020
Data de resposta de ImLive: 7 de gener de 2020
Data de l’acció: 9 de gener de 2020

PussyCash mai va respondre a cap dels nostres intents de contactar amb ells sobre la filtració de dades, inclòs el seu responsable de protecció de dades. Finalment, ImLive va respondre a un dels nostres correus electrònics, dient que tindrien cura i que els transmetés la informació a l’equip tecnològic PussyCash..

Com PussyCash no contracta talent a través del seu lloc web principal, és plaent suposar que les seves dades de filtració provenen d’un o més d’altres llocs web, com ImLive. Es tracta d’un supòsit que no podem demostrar sense excavar més les fuites de dades. També vam veure registres que mencionen específicament ImLive, per la qual cosa hem optat per utilitzar-ho com a exemple per a les porcions d’aquest informe, i no necessàriament de les altres marques i llocs de PussyCash. Tot i això, val la pena assenyalar que el mateix cubell porta el nom de PussyCash.

Exemples d’entrades a la base de dades

Dades afectades

Hi ha almenys 875.000 claus, que representen diferents tipus de fitxers, inclosos vídeos, materials de màrqueting, fotografies, clips i captures de pantalla de xats de vídeo i fitxers zip. Dins de cada carpeta postal, i aparentment hi ha una carpeta zip per model, hi ha sovint diversos fitxers addicionals (per exemple, fotografies i exploracions de documents) i molts elements addicionals que hem escollit no investigar..

Les carpetes incloses podrien tenir fins a 15-20 anys, però també són tan recents com les darreres setmanes. Fins i tot per als fitxers antics, donada la naturalesa de les dades, encara és rellevant i d’impacte igual que els fitxers recentment afegits.

Fotografies i exploracions del passaport complet i de les targetes d’identificació nacionals, incloses les visibles:

  • Nom complet
  • Data de naixement
  • Lloc de naixement
  • Estatut de ciutadania
  • Nacionalitat
  • Passaport / número d’identificació
  • Número del passaport & dates de caducitat
  • Sexe registrat nacionalment
  • Foto d’identificació
  • Signatura personal
  • Els noms complets dels pares
  • Empremtes digitals
  • Detalls addicionals específics del país (per exemple, informació de contacte d’emergència per a ciutadans del Regne Unit)

Alliberament de model i passaport xinès

 

Targeta d’identitat brasilera amb empremta digital

Fotografies i exploracions de les llicències de conduir, incloses les visibles:

  • Número de llicència de conduir
  • foto
  • Data de naixement
  • Alçada / pes
  • Sexe registrat
  • Adreça completa
  • Signatura
  • El tipus de vehicle a què es pot operar la persona
  • PII addicional, segons el país (com ara l’estat de donant d’òrgans i els impediments visuals per als ciutadans dels Estats Units)

Llicències de conduir de Califòrnia (EUA), inclòs l’estat de donant d’òrgans

Fitxa d’identificació de serveis uniformats dels EUA:

  • Oficina del servei (per exemple, exèrcit)
  • Grau militar
  • Codificació del color (indica l’estat actual del titular: jubilat, actiu, privilegiat, dependent de militars)
  • Nom complet

Fotografies i exploracions de targetes de crèdit, incloses les visibles:

  • Número complet de la targeta de crèdit
  • Data de caducitat
  • Nom del titular de la targeta

Llicència de conduir de Texas; Targeta de visat emesa per Chase Bank

Formulari de publicació del model, inclosos:

  • Nom legal complet
  • Àlies professionals
  • Signatura
  • Data de naixement
  • adreça
  • Número de telèfon
  • Passaport / número d’identificació
  • Nom i adreça del fotògraf
  • Nom i adreça del testimoni
  • Mesures del cos (alçada, pes, malucs, bust, cintura)
  • Detalls de pírcings, tatuatges i cicatrius
  • Tarifes

Model de llançament del model que indica les mesures del cos 

Model que indica els pírcings del cos, inclosos llocs per marcar cicatrius i tatuatges

Números de seguretat i exploracions de targetes de la Seguretat Social:

Targeta de la Seguretat Social (EUA)

Fotografia de les targetes d’identificació del model (sovint en dos formularis):

El model txec té dues formes d’identificació

Certificats de matrimoni:

  • Nom complet
  • Nom complet del cònjuge
  • Ocupació
  • Edat
  • Noms dels pares
  • Data del matrimoni
  • Lloc de matrimoni

Exàmens de certificats de naixement:

  • Nom complet del naixement
  • Gènere de naixement
  • Data de naixement
  • Lloc de naixement
  • Nacionalitat
  • Noms dels pares

Certificat de naixement d’un ciutadà britànic

Bios escrits a mà, inclosos:

  • Preferències sexuals (és a dir, atraccions, fantasies, mètodes)
  • Esperances i somnis
  • Ocupació actual
  • Favorits, de música a menjar fins a aficions

Pàgina de biografia manuscrita d’un model sud-americà

Països afectats

Aquests són els països que hem trobat, però no hem obert cada fitxer i és possible que hi hagi més nacionalitats afectades per la fuga.

  • Àfrica
    • Kenya
    • Sud-Àfrica
  • Àsia
    • Xina
    • Israel
    • Kazakhstan
    • Kirguizistan
    • Tailàndia
  • Austràlia
  • Europa
    • Bulgària
    • República Txeca
    • Dinamarca
    • França
    • Alemanya
    • Gran Bretanya (incloent Gal·les)
    • Itàlia
    • Països Baixos
    • Polònia
    • Rússia
    • Sèrbia
    • Eslovàquia
    • Suïssa
    • Ucraïna
  • Amèrica del nord
    • Canadà
    • EUA
  • Amèrica Llatina
    • Argentina
    • Brasil
    • Perú

ImLive.com proclama que “tenen molta cura en implementar i mantenir la seguretat dels Serveis i la vostra informació” i “han posat en marxa garanties físiques i tecnològiques adequades per ajudar a prevenir l’accés no autoritzat, mantenir la seguretat de les dades i utilitzar correctament la informació que recollim en línia. Aquestes salvaguardes varien en funció de la sensibilitat de la informació que recollim i emmagatzemem. “

A la secció “Avís de privadesa de dades de l’amfitrió,”ImLive inclou una llista no exhaustiva de les dades que“ recopilaran, processen i emmagatzemaran ”durant la relació contractual amb els models, que és la següent:

  • INFORMACIÓ PERSONAL: incloent el nom legal i informació de contacte (nom complet, adreça de casa, número de telèfon), data de naixement, números d’identificació governamentals (permís de conduir), ciutadania / residència, estat personal, fotos i altra recollida de dades permesa o requerida per la legislació local ;
  • INFORMACIÓ ADICIONAL D’IDENTIFICACIÓ: inclòs qualsevol nom (que no sigui el nom legal de l’amfitrió) que hagi utilitzat mai l’amfitrió, inclòs el nom de soltera, l’àlies, el sobrenom, el nom d’etapa o el nom professional; una còpia en format llegible o llegible digitalment digitalitzada o una altra còpia electrònica d’una còpia impresa del document d’identificació examinada i, si aquest document no conté una imatge recent i recognoscible de l’amfitrió, una còpia en format llegible d’una targeta d’identificació d’imatges (com aquesta el terme es defineix a continuació); una còpia de la representació (incloses càmeres en directe o publicitat) i, quan la representació es publiqui en un lloc o servei d’ordinador d’Internet, una còpia de qualsevol URL associada a la representació. Si no s’associa cap URL amb la representació, els registres inclouran una altra referència identificativa única associada a la ubicació de la representació a Internet; i per a qualsevol host en una representació realitzada en directe a Internet, una còpia de la representació amb temps de durada suficient per identificar l’intèrpret en la representació i associar l’intèrpret als registres necessaris per confirmar la seva edat..
  • TARGETA D’IDENTIFICACIÓ DE LA FOTOGRAFIA: incloent un document emès per: (a) els Estats Units, un govern de l’Estat dels Estats Units, o una subdivisió política dels mateixos, o un territori dels Estats Units, que porta la fotografia, el nom de la persona identificada i la data. del naixement de l’amfitrió i proporciona informació específica suficient perquè l’autoritat emissora confirmi la seva validesa, com ara un passaport, una targeta de resident permanent (comunament coneguda com a “Green Card”) o un document d’autorització d’ocupació emès pels Estats Units, permís de conduir o una altra forma d’identificació emesa per un estat o el districte de Columbia; o (b) un equivalent emès pel govern estranger de qualsevol dels documents enumerats anteriorment quan la persona que és objecte de la targeta d’identificació de la imatge és un ciutadà no nord-americà situat fora dels Estats Units en el moment de la producció original i el productor mantenint. els registres obligatoris, siguin ciutadans nord-americans o no ciutadans dels Estats Units, es troben fora dels Estats Units a la data de producció original. La targeta d’identificació de la imatge ha de ser vàlida a partir de la data de producció original.
  • INFORMACIÓ DE PAGAMENT: incloent informació bancària, retribucions i deduccions i altra informació relacionada.
  • PERFORMANCE I INFORMACIÓ DEL TALENT: incloent qualificacions, avaluacions, planificació del desenvolupament, permisos de polítiques de seguretat, dades de comunicació i altres gestions de talent i avaluacions basades en equip.
  • SOLICITUDS / RECORDS: A més, la companyia recopila i manté diferents tipus d’informació personal, inclosa la informació personal continguda en qüestionaris i avaluacions d’historial mèdic..

Els procediments de ciberseguretat ImLive.com estats que han implementat per a les dades dels seus amfitrions / models, inclouen:

  • Topologia de xarxa segura, que inclou sistemes de prevenció d’intrusions i tallafocs;
  • Comunicació xifrada;
  • Autenticació i control d’accés;
  • Proves d’auditoria externa i interna; etc.

A l’avís de privadesa de dades del seu amfitrió, també escriuen que per garantir “la seguretat de la informació dels nostres usuaris i evitar l’ús no autoritzat de qualsevol informació d’aquest tipus, la companyia utilitza pràctiques i procediments estàndard de la indústria com ara controls de compliment per assegurar la conformitat de la política, avaluacions d’impacte de protecció de dades, auditories internes d’activitats de processament, etc..

Tot i això, “no fan cap garantia, expressa, implícita o d’una altra manera”, que impediran o seran responsables de l’accés no autoritzat a les dades personals que hagin recollit..

Impacte de la incomplicació de dades

Aquesta fuita representa una amenaça potencialment severa per a aquells les dades de les quals han estat exposades. Té moltes implicacions, les quals podrien arruïnar molt bé la vida dels models i actors porno implicats.

El robatori d’identitat

Dins gairebé cada fitxer zip que els nostres investigadors van descobrir era tot el necessari perquè un delinqüent assumís fàcilment la identitat d’un altre. També és informació que veiem regularment a la venda a la web fosca, sovint a preus molt atractius. Amb el número d’identitat nacional d’algú, una exploració de la seva identificació fotogràfica, la seva adreça completa, el número de la targeta de crèdit i fins i tot el nom dels seus pares o cònjuge, teniu el paquet de robatori d’identitat complet al vostre abast..

Estafes

Utilitzant la semblança d’actors i actrius adults d’alt perfil, tant empreses ètiques com estafadors poden generar persones innocents del seu guany dur en diners. També és plausible que les imatges i vídeos d’algun d’aquests models es puguin utilitzar per a la pesca de pèl en aplicacions i llocs de cites per cometre fraus en aquestes plataformes..

Tant si s’utilitza fraudulentament la seva imatge per promocionar un producte o servei, o fins i tot mitjançant una suplantació del model i sol·licitant diners per a connexions personals, l’amenaça d’una estafa es produeix amb aquesta mena de dades a l’abast dels criminals..

Humiliació pública i impacte en la vida i relacions personals

Per a moltes persones que opten per ser a càmera amb caràcter pornogràfic, es tracta de les seves circumstàncies més que del seu descarat desig de despistar la seva imatge nua la que els porta a una decisió així. Això vol dir que, en la gran majoria dels casos, tal com indiquen els noms escènics i les clàusules d’anonimat d’alguns contractes, el model podria ser devastat en ser exposat als seus éssers estimats, provocant vergonya i angoixa irreparables..

Molts arxius que hem trobat tenen entre 10 i 20 anys, i pot ser que des que es dediquessin a realitzar activitats de pornografia, els individus hagin passat a construir vida professional i personal fora de la indústria d’adults. Per aquells que s’han esforçat molt per oblidar i ocultar el passat, la seva família, amics i companys potser no ho saben, i pot posar en perill les seves relacions actuals.

Xantatge i extorsió

Els delinqüents de carrera de les autoritats i les persones que mantenen escamots personals podrien fer xantatge o extorsió dels models fàcilment amenaçant amb exposar-los, públicament, professionalment, personalment o qualsevol combinació d’aquests..

Repassatge dels aficionats

Per a alguns, la pornografia proporciona una sortida important; per a uns quants, poden quedar obsessionats amb un actor en particular i tenen un fort desig de conèixer-los. Hi ha aquelles que potser seguirien amb això, marcant així la persona si tinguessin prou informació sobre ella (com ara nom real, adreça, número de telèfon, etc.).

La persecució és una porta d’entrada a diverses amenaces addicionals, incloses l’assetjament, la violació, el segrest i fins i tot l’homicidi..

Pèrdua de feina i vergonya professional

Després de descobrir un “pressupost lateral” o un compromís a temps complet a la indústria adulta, és extremadament plausible que això comportés un impacte negatiu en els models. Amenaçar el seu lloc de treball i reputació professional.

Exposant persones LGBTQ

Hi ha un greu perill per als models LGBTQ que s’haurien exposat. A tot el món, hi ha uns 70 països on l’homosexualitat encara es criminalitza, per exemple, fins a 21 anys de presó a Kenya. En moltes altres persones, les relacions del mateix sexe són considerades tabú i repugnants per un percentatge important de la població.

Molts homes homosexuals i persones trans són assetjats per la policia, extorsionats i xantats per suborn i favors sexuals a canvi de la llibertat / seguretat. Els que no compleixen se’ls acusa sovint amb càrregues rebutjades i, de vegades, violades. A causa d’aquesta filtració, la seva adreça està clarament disponible (juntament amb altres PII) que els posa directament en risc.

Repercussions legals (segons la ubicació)

Les lleis de pornografia poden variar molt segons la regió. Aproximadament 30 països prohibeixen completament el porno d’Internet i gairebé 80 prohibeixen la venda o la distribució de porno. Les penes per violar aquestes prohibicions inclouen diverses quantitats de multes i temps de presó. Aquí es donen algunes societats més tradicionals, però també hi ha alguns països on sorprèn que encara existeixin lleis anti-porno (com Austràlia).

Incompliment de contracte

Exposant el nom i els detalls reals del model, i connectant-lo amb el seu nom escènic, és possible que l’empresa i fins i tot les agències de talent incompleixin el contracte..

Drets humans i dignitat

Hi ha molt que es pot discutir sobre la manera dels drets humans i la dignitat humana en la indústria adulta. És raonable tenir en compte que és impropi de models / amfitrions / actors de països en vies de desenvolupament exigir que es plantegin al costat de dues formes d’identificació? També val la pena assenyalar que bona part de la PII no va ser redactada per agències, que aparentment van proporcionar / transferir almenys alguns d’aquests documents i fotografies a PussyCash i / o als seus llocs web afiliats..

Molts dels models viuen o provenen de països en desavantatge econòmic. El seu estat socioeconòmic pot ser, almenys en part, un motiu per triar una ocupació tradicionalment tabú.

Finalment, podem pensar en l’impacte psicològic inherent que pot suposar una fuga de dades en aquesta indústria. Quina pot ser la reacció dels models que tinguin informació, documents, fotos i vídeos d’identificació personal? És important tenir en compte que elaborem aquests informes de les nostres troballes amb l’objectiu de conscienciar sobre la importància de salvaguardar les vostres dades i que les empreses es prenguin seriosament les implicacions de les amenaces de seguretat informàtica i cibernètica. No us podem recomanar prou que si us trobeu en una circumstància en què necessiteu confirmar pràcticament la vostra identitat, que torneu la informació més gran possible abans d’enviar fotografies o exploracions de documents oficials..

Assessorament dels experts

PussyCash podria haver evitat aquesta fuga fàcilment si haguessin adoptat algunes mesures bàsiques de seguretat per protegir el buc S3. Aquests inclouen, però no es limiten a:

  1. Assegureu els servidors.
  2. Implanta unes regles d’accés adequades.
  3. No deixeu mai un sistema que no requereixi autenticació oberta a Internet.

Qualsevol empresa pot replicar els mateixos passos, sigui quina sigui la seva mida. Per obtenir una guia més detallada sobre com protegir el vostre negoci, consulteu la nostra guia per protegir el vostre lloc web i la base de dades en línia dels pirates informàtics..

Com i per què vam descobrir l’incompliment

L’equip d’investigació vpnMentor va descobrir l’incompliment de la base de dades de Pussycash com a part d’un enorme projecte de mapeig web. Els nostres investigadors utilitzen exploració portuària per examinar blocs IP concrets i provar forats oberts en sistemes per detectar punts febles. Examinen cada forat per a la filtració de dades.

Quan troben un incompliment de dades, utilitzen tècniques expertes per verificar la identitat de la base de dades. A continuació, alertem a l’empresa de l’incompliment. Si és possible, també avisarem els afectats per l’incompliment.

Hem pogut accedir a la cubeta S3 de Pussycash perquè estava completament sense seguretat i sense xifrar. Mitjançant un navegador web, l’equip podria accedir a tots els fitxers allotjats a la base de dades.

L’objectiu d’aquest projecte de mapeig web és ajudar a fer que Internet sigui més segura per a tots els usuaris. Com a pirates informàtics ètics, estem obligats a informar una empresa quan descobrim defectes en la seva seguretat en línia.

Tanmateix, aquesta ètica també significa que també responsabilitzem el públic. Això és especialment cert quan l’incompliment de dades de les empreses conté una quantitat tan gran d’informació privada i sensible.

Quant a nosaltres i informes anteriors

vpnMentor és el lloc web de revisió VPN més gran del món. El nostre laboratori d’investigació és un servei de promoció professional que s’esforça a ajudar la comunitat en línia a defensar-se de les amenaces cibernèriques alhora que educa les organitzacions a protegir les dades dels seus usuaris..

En el passat, vam descobrir una bretxa a LightInTheBox va comprometre les dades dels seus clients. Recentment també vam revelar que una empresa propietat de la gran cadena hotelera AccorHotels exposats a més d’1 TB de dades dels convidats. També és possible que vulgueu llegir la nostra Informe de filtracions de VPN i informe de estadístiques de privadesa de dades.

PussyCash.com Comentari: “La privadesa i la protecció de les dades dels usuaris són una prioritat i una preocupació per a nosaltres. Per aquest motiu, vam actuar de forma ràpida i vam eliminar l’accés públic a la carpeta oberta tan aviat com vpnMentor (l’empresa de recerca tecnològica) ens va alertar d’aquest fet.

Cal remarcar que no es va filtrar cap informació, a excepció de vpnMentor, estem segurs que no l’utilitzaran per a cap propòsit.

També cal destacar que la carpeta en qüestió és del 2013. Inclou detalls dels materials de màrqueting adquirits d’actors professionals que van proporcionar vídeos i imatges amb finalitats de màrqueting, que es van utilitzar per promocionar diversos llocs web. Els fitxers confirmaven que tots els actors tenen més de 18 anys.

Hem de subratllar que la informació inclosa a la carpeta no conté informació de cap intèrpret o membre de cap lloc web promogut per PussyCash.com.

Com s’ha esmentat anteriorment, la carpeta es va treure ràpidament de l’accés públic i es van referir instruccions als diferents departaments tècnics sobre controls en curs en relació amb l’emmagatzematge d’informació. “

 

Comentari de vpnMentor: Després del comentari de Pussycash.com, vam decidir substituir les mencions de “models de càmeres” per “models / actors porno. Afirmen que les persones de la galleda eren “actors porno” i no “models de càmera”, i com que es suposava que vam decidir acceptar la seva reivindicació.

Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map