Informe: VEED.io exposa vídeos d’usuaris privats en filtració de dades


L’equip de recerca de vpnMentor, liderat per reconeguts analistes Noam Rotem i Ran Locar, ha descobert recentment un incompliment de seguretat en una base de dades pertanyent a la plataforma d’edició de vídeo VEED.io.

VEED amb seu a Londres proporciona als usuaris les eines per fer-ho pengeu vídeos i optimitzeu-los per compartir-los a les xarxes socials. Amb el final 50.000 usuaris a tot el món, la seva base de clients inclou creatius, influencers, empreses corporatives, i usuaris habituals de mitjans socials. 

La base de dades incomplerta va comprometre la privadesa de tots els usuaris de VEED, exposant tot el contingut penjat a la plataforma en la seva forma bruta i sense modificar. Inclouen vídeos privats de caràcter molt sensible. 

Cronologia del descobriment i la reacció del propietari

De vegades, l’abast d’un incompliment de dades i el propietari de la base de dades són evidents i el problema es resol ràpidament. Però són rares aquestes èpoques. Molt sovint necessitem dies d’investigació per entendre què hi ha en joc o qui està filtrant les dades.

Comprendre una incompliment i el seu impacte potencial requereix una atenció i temps amb molta cura. El nostre equip ha de ser exhaustiu i assegurar-se que tot el que trobem és correcte i cert. De tant en tant, les parts afectades neguen els fets, prescindint de la nostra investigació o fent-ne constància. 

Afortunadament, aquesta vegada tot l’equip va identificar ràpidament a VEED com a propietaris de les dades. Allotjat a Amazon Web Services (AWS), la base de dades era un bucle S3: una forma habitual d’emmagatzematge en AWS. 

Vam contactar amb l’empresa per alertar-los de la vulnerabilitat, però, van passar moltes setmanes abans de rebre una resposta. Mentrestant, també vam contactar directament amb AWS per notificar-los el problema. Una vegada que AWS va contactar a VEED, la violació es va tancar. 

  • Data de descoberta: 12/10
  • Data de venda dels venedors: 15/10
  • Data de contacte amb AWS: 27/10
  • Data de resposta de AWS: 29/10
  • Data d’acció: Aprox. 05/11
  • Data de resposta de VEED: 21/11/19

Exemple d’entrades a la base de dades

El cubell AWS contenia 10.000 milions de vídeos en formes brutes i editades. Aquestes havien estat penjats pels usuaris de VEED a tot el món i inclosos material de màrqueting, vídeos familiars i fins i tot pornografia casolana. 

També ho és És possible que alguns dels vídeos incloguessin diverses formes de contingut il·legal.

Els nostres investigadors ho eren capaç d’accedir i veure, en teoria, qualsevol contingut carregat a VEED, independentment que es realitzi per a visites privades o públiques. 

Impacte de la incomplicació de dades

Aquest incompliment de dades representa un greu lapsus en el protocol bàsic de seguretat de VEED. Exposant tota la seva base de dades de contingut generat per l’usuari, ells va arriscar la privacitat dels seus clients, així com de tot el seu negoci. 

La seguretat de les dades és una preocupació creixent per a tots els usuaris d’internet independentment del lloc web, eina o plataforma que facin servir. Les empreses que utilitzin VEED amb finalitats comercials i promocionals estaran preocupades per les seves el contingut privat estava obert al públic abans que el publiquessin, cosa que podria provocar pèrdues de clients o accions legals corporatives.

De la mateixa manera, si alguns vídeos inclouen contingut il·legal, això podria fer-ho VEED responsable de l’acció judicial. 

Per a usuaris individuals, la base de dades exposada els va comprometre personalment. No estava clar quins fitxers de vídeo estaven destinats a ús privat i quins eren destinats a penjar-los a les xarxes socials. 

Prenguem, per exemple, el material pornogràfic. 

Els creadors d’aquests vídeos estarien justificadament incòmodes perquè tinguessin accés al públic. Això és més greu que simplement vergonyós: la pornografia privada, íntima i casolana és una eina valuosa per fer xantatge i extorsió. 

Els pirates informàtics i malintencionats podrien publicar aquests vídeos contra els seus creadors orientar-los de diverses maneres, amb conseqüències ruïnoses, personalment i econòmicament.

Assessorament dels experts

VEED hauria pogut evitar fàcilment aquesta filtració si haguessin adoptat algunes mesures bàsiques de seguretat per protegir el cubell S3. Qualsevol empresa pot replicar els passos següents, sense importar-ne la mida:

  1. Assegureu els servidors.
  2. Implanta unes regles d’accés adequades.
  3. No deixeu mai un sistema que no requereixi autenticació oberta a Internet.

Per obtenir una guia més detallada sobre com protegir el vostre negoci, consulteu la nostra guia per protegir el vostre lloc web i la base de dades en línia dels pirates informàtics..

Per VEED Usuaris

A diferència de la majoria de filtracions de dades, descobrim i analitzem, Si canvieu els detalls d’inici de sessió del compte, no podreu fer cap diferència aquí. El contingut de vídeo exposat a la filtració carregat a VEED sense necessitat que els detalls d’inici de sessió d’un usuari puguin accedir-hi.

Per aquesta raó, Correspon a VEED tancar l’incompliment i protegir els vídeos de festes externes. 

Si ets usuari de VEED i estàs preocupat per com pot afectar aquesta violació, contacta amb ells i pregunta quins passos fan. 

Per obtenir més informació sobre les vulnerabilitats de les dades en general i com protegir la vostra filtració, llegir el nostre Guia completa de privadesa en línia.

Us mostra les diverses maneres en què els cibercriminals s’orienten als usuaris d’internet i els passos que podeu fer per mantenir-se fora de perill.

Com i per què vam descobrir l’incompliment

L’equip de recerca vpnMentor va descobrir l’incompliment a les bases de dades de VEED com a part un enorme projecte de mapeig web. Els nostres pirates informàtics utilitzen exploració portuària per examinar blocs IP concrets i provar forats oberts en sistemes per detectar punts febles. Examinen cada forat per a la filtració de dades. 

Quan troben un incompliment de dades, utilitzen tècniques expertes per verificar la identitat de la base de dades. A continuació, alertem a l’empresa de l’incompliment. Si és possible, també avisarem els afectats per l’incompliment.

VEED utilitzava una base de dades oberta S3 Bucket a AWS, que no havien assegurat correctament. Tot i que AWS proporciona les eines per assegurar els cubs, fent-los inaccessibles per a festes externes, depèn dels seus clients els utilitzin. 

Hem pogut accedir a la cubeta S3 de VEED perquè estava completament sense seguretat i sense xifrar. Mitjançant un navegador web, l’equip podria accedir a tots els fitxers allotjats a la base de dades.

L’objectiu d’aquest projecte de mapeig web és ajudar a fer que Internet sigui més segura per a tots els usuaris. 

Com a pirates informàtics ètics, estem obligats a informar a una empresa quan descobrim defectes en la seva seguretat en línia. Això és especialment cert quan l’incompliment de dades de l’empresa conté informació tan sensible i perjudicial.

Aquesta ètica també significa portem una responsabilitat al públic. Els usuaris de VEED han d’estar al corrent d’una infracció de dades que els afecti.

Quant a nosaltres i informes anteriors

vpnMentor és el lloc web de revisió VPN més gran del món. El nostre laboratori d’investigació és un servei de promoció professional que s’esforça a ajudar la comunitat en línia a defensar-se de les amenaces cibernèriques alhora que educa les organitzacions a protegir les dades dels seus usuaris.. 

Recentment hem descobert un enorme incompliment de dades que afectava a 80 milions de llars nord-americanes. També vam revelar que una bretxa a Biostar 2 comprometia les dades biomètriques de més d’un milió de persones. També pot ser que vulgueu llegir el nostre Informe de filtracions de VPN i les estadístiques de privadesa de dades.

Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map