Raporti: Shkelja e të dhënave në kompromisin e të rriturve Intimiteti i të gjithë përdoruesve


Udhëhequr nga Noam Rotem dhe Ran Locar, ekipi hulumtues i vpnMentor zbuloi një shkelja e të dhënave në faqen e të rriturve Luscious.

Luscious është një vend i ngrohtë imazhesh pornografike i përqendruar kryesisht në animuar, përmbajtja e ngarkuar nga përdoruesi. Bazuar në hulumtimet e kryera nga ekipi ynë, faqja ka mbi 1 milion përdorues të regjistruar. Secili përdorues ka një profil, detajet e të cilit mund të arrihen përmes hulumtimit tonë. 

Profilet private lejojnë përdoruesit që të ngarkojnë, shpërndajnë, komentojnë dhe diskutojnë përmbajtjen në Luscious. E gjithë kjo është bërë në mënyrë të kuptueshme ndërsa duke e mbajtur identitetin e tyre të fshehur pas emrave të përdoruesve.

Shkelja e të dhënave zbuloi ekipi ynë kompromenton këtë anonimitet duke lejuar hakerët të mundshëm hyrë në detajet personale të përdoruesve, përfshirë adresën e tyre personale të postës elektronike. Natyra shumë e ndjeshme dhe private e përmbajtjes Luscious bën përdoruesit tepër të prekshëm ndaj një sërë sulmesh dhe shfrytëzimesh nga hakerat me qëllim të keq.

Afati kohor i zbulimit dhe reagimit të pronarit

  • Data e zbuluar: 15/08/19
  • Pronari i datës ka kontaktuar: 16/08/19

Shembull i hyrjeve në bazën e të dhënave

Shkelja e të dhënave i dha ekipit tonë qasje në 1.195 milion llogari të përdoruesve në Luscious. Të gjitha këto u komprometuan, duke zbuluar detaje personale të përdoruesve me pasoja potenciale shkatërrimtare. 

Detajet personale të përdoruesit personal që kemi parë përfshinë:

  • usernames
  • Adresat personale të postës elektronike
  • Regjistrat e veprimtarisë së përdoruesit (data e bashkuar, hyrja më e fundit)
  • Vendi i vendbanimit / vendndodhjes
  • gjini

Disa përdorues ‘ adresat e postës elektronike treguan emrat e tyre të plotë, duke rritur ndjeshmërinë e tyre deri te shfrytëzimi dhe krimi kibernetik.

Vlen të theksohet se ne vlerësojmë 20% të postave elektronike në llogaritë Luscious përdorin adresat e postës elektronike të rreme për t’u regjistruar. Kjo sugjeron që disa përdorues të Luscious janë duke ndërmarrë aktivisht hapa shtesë të mbetet anonim. 

Sjelljet e përdoruesit & aktivitetet

Shkelja e të dhënave dha gjithashtu një përmbledhje e plotë e aktiviteteve të përdoruesit. Kjo na lejoi të shohim gjëra të tilla si:

  • Numri i albumeve të figurave që kishin krijuar
  • Ngarkimet e videos 
  • Comments 
  • Postimet në blog
  • Favoritet
  • Pasuesit dhe llogaritë pasuan
  • Numri i ID e përdoruesit të tyre – kështu që ne mund të dimë nëse ata janë aktivë apo janë ndaluar

Ndërsa disa nga këto informacione janë të dukshme për përdoruesit e tjerë, shumica e saj ishte fshehur në bazën e të dhënave të faqes në internet. Të gjitha këto informacione të kombinuara krijon njohuri të vlefshme se si njerëzit përdorin Luscious.

Ekipi ynë ishte gjithashtu në gjendje të shihte detaje të postimeve në blog dhe përmbajtjes së publikuar në Luscious. Kjo përfshin detajet e autorit, së bashku me numrin e pëlqimeve, kur publikohen, kategorinë, etj.

Disa nga keto postimet në blog ishin jashtëzakonisht personale – përfshirë përmbajtje depresive ose ndryshe të cenueshme – dhe mbahen anonime. Për shkak të kësaj shkelje të të dhënave, megjithatë, postimet në blog nuk janë më anonime, me shumë identitete të autorëve të zbuluar. 

Po kështu, për imazhet e ngarkuar në Luscious, ne kemi përfituar një indeks të fotografive me informacion të detajuar, duke përfshirë kush i ka krijuar ato.

1 milion + përdorues të prekur janë të vendosur në të gjithë botën, me vendndodhjet e tyre gjithashtu të zbuluara në shkelje. Gjatë hulumtimit tonë, ne ishim në gjendje t’iu qasemi profileve të përdoruesve nga Evropa, Azia, Australia dhe Amerika. 

Për shembull, ne gjetëm afro 13,000 adresa emaili në “.fr”, që përfaqësojnë rreth 1.25% të bazës së të dhënave. Duke marrë parasysh numrin e personave francezë që përdorin postë elektronike si Gmail – duke përfunduar në “.com” dhe bazuar në emrat francezë që pamë në adresat @ gmail.com- ne vlerësojmë se numri aktual i përdoruesve francezë është rreth 3 herë më i lartë: afërsisht 40,000.

Më poshtë është një tabelë që përshkruan shpërndarjen ndërkombëtare të përdoruesve të Luscious, bazuar në adresat e postës elektronike dhe vlerësimet tona të numrave realë, duke marrë parasysh llogaritë Gmail dhe statistikat e ngjashmeweb.

 vendVlerësimi ynë i përdoruesve bazuar në adresat e postës elektronike që gjenden në DB
 Francë  40,000
 Holandë 8,000
 Suedi 6,000
 Gjermani 50,000
 Spanjë 7,000
 Rusi 35,000
 Izrael 1,000
 Itali 18,000
 Brazil 10,000
 Kanadë 15,000
 Australi 5,000
 Poloni 20,000
 Japoni 6,000
 Indi 6,000

Një çështje shqetësuese më e madhe është fakti që shumë përdorues u bashkuan me Luscious në postat elektronike zyrtare të qeverisë. Ne gjetëm shembuj të kësaj nga përdoruesit në Brazil, Australi, Itali, Malajzi dhe Australi. 

fushëVlerësimi ynë i përdoruesve bazuar në adresat e postës elektronike që gjenden në DB
.edu Më pak se një mijë
.gov qindra

Kjo shton shumë më tepër cënueshmëria jo vetëm për përdoruesit, por edhe punëdhënësit e tyre. Me qasje në adresat e postës elektronike të punonjësve, hakerat kriminelë mund të synojnë agjencitë qeveritare dhe departamentet në një numër mënyrash.

Ndikimi i thyerjes së të dhënave

Ndikimi i kësaj shkelje të të dhënave tek përdoruesit mund të jetë shkatërruese, personalisht dhe financiarisht. Aktiviteti në faqet e të rriturve si Luscious është më private në natyrë, dhe askush nuk pret që ajo të zbulohet.  

Ekspozimi i saj mund të jetë shkatërruese për marrëdhëniet dhe jetën personale të një viktimë. 

Informacioni i vënë në dispozicion në bazat e të dhënave të Luscious u jep hakerëve kriminelë dhe dashakeq shumë mundësi për të përdorur këto të dhëna për përfitime të paligjshme dhe shfrytëzim të përdoruesve. 

Doxing

Doxing i referohet aktit të hetimit të një interneti identitetin e përdoruesit dhe bërjen publike të tij, zakonisht me qëllim dashakeq. Me hyrjen në adresat dhe vendndodhjet e postës elektronike të përdoruesve të Luscious, hakerët mund të lehtësonin lokalizoni profilet e tyre në mediat sociale dhe site të ngjashme. 

Me këtë informacion, një përdorues i harlisur rrezikon të ekspozohet publikisht për veprimtarinë e tyre në faqen e internetit. Mund të jenë në shënjestër për ngacmim, ngacmim ose ndarje të detajeve me familjen, miqtë dhe punëdhënësit e tyre. 

Duke pasur parasysh natyrën e përmbajtjes në Luscious, efektet e një fushate të tillë mund të jenë shkatërruese. 

zhvatje

Sapo të rrezikohet identiteti i një përdoruesi të Luscious, ato mund të synohen për më shumë se vetëm ngacmim. Hakerët mund të kërcënojnë të ekspozojnë përdoruesit përveç nëse paguajnë një shpërblim. Duke pasur parasysh natyrën e ndjeshme të kësaj shkelje të të dhënave, viktimat janë tepër të prekshme dhe ka të ngjarë të paguajnë. 

megjithatë, pagimi i një shpërblesë nuk garanton se detajet tuaja nuk do të zbulohen gjithsesi. Sapo janë vjedhur këto të dhëna, ato mund të përdoret dhe shitet pa pushim. Kjo i lë përdoruesit të hapur zhvatje e vazhdueshme nga një haker, me potencial për Luscious e tyre aktiviteti për tu lëshuar ende nga një tjetër.

phishing

Phishing i referohet krijimit të posta elektronike imituese të dërguara te viktimat për t’i mashtruar ato në sigurimin e fjalëkalimeve ose informacione të tjera kompromentuese, dhënien e aksesit në llogaritë financiare ose kartat e kreditit dhe vendosjen e një malware në një pajisje. 

Një haker ose krimi kibernetik i dërgon një email një emaili bërë që të duket si një biznes ose organizatë legjitime që viktima përdor tashmë, për të nxjerrë informacionin e dëshiruar ose malware të bimëve. 

Duke zbuluar detaje personale si adresat e postës elektronike dhe vendndodhjen, shkelja e të dhënave Luscious ndihmon kriminelët të synojnë përdoruesit për shfrytëzim, mashtrim ose vjedhje në të ardhmen. Ata mund të përdorin këtë informacion për të krijoni email efikas mashtrues dhe dërgojini ato drejtpërdrejt në kutinë e postës elektronike të një përdoruesi – në atë mënyrë, ata gjithashtu dallohen nga postë spam dhe junk.

Veprimet e konkurrencës

Kjo shkelje e të dhënave gjithashtu e bën Luscious të prekshëm. Me mbi 1 milion përdorues dhe mbi 20 milion vizita në muaj, është një faqe interneti udhëheqëse brenda kamareve të saj. Alsoshtë gjithashtu pa dyshim shumë fitimprurëse. 

Me informacionin privat të zbuluar tani, Konkurrentët e Luscious mund të analizojnë sjelljen e përdoruesit – të preferuarat e tyre, çfarë u pëlqen, si bashkëveprojnë me përdoruesit e tjerë – dhe synoni ata me alternativa më të mira. Zakonisht, bizneset në internet i mbajnë të fshehura të gjitha këto informacione, si ajo paraqet një rrezik të madh për modelin dhe të ardhurat e biznesit të tyre.

Këshilla nga ekspertët

Kjo rrjedhje e të dhënave mund të ishte shmangur lehtësisht nëse Luscious kishte marrë disa masat themelore të sigurisë. Këto mund të përsëriten nga çdo kompani, pa marrë parasysh madhësinë e saj:

  1. Siguroni serverat tuaj.
  2. Zbatimi i rregullave të duhura të hyrjes.
  3. Asnjëherë mos lini një sistem që nuk kërkon autentifikim të hapur për internetin.

Për përdoruesit

Ne ju sugjerojmë menjëherë ndryshoni detajet e llogarisë suaj Luscious, përfshirë emrin e përdoruesit dhe adresën e postës elektronike.  

Për faqet e internetit me temë të rritur, ose çdo faqe në internet me një natyrë të ndjeshme, gjithmonë krijoni një emër përdoruesi plotësisht të palidhur me adresën tuaj të emailit personal ose ndonjë llogari tjetër në internet. 

Nëse e keni zbuluar vendndodhjen tuaj në Luscious, hiqni këtë detaj nga profili juaj. Ju gjithashtu mund të ndryshoni vendndodhjen tuaj duke përdorur një VPN.

Për të mësuar më shumë rreth intimitetit tuaj të internetit në përgjithësi, dhe si të shmangni shkeljet e të dhënave si kjo në jetën dhe biznesin tuaj, lexoni udhëzuesin tonë të plotë për privatësinë në internet.

Si dhe pse e zbuluam shkeljen

Ekipi hulumtues vpnMentor zbuloi shkeljen në bazat e të dhënave të Luscious si pjesë e një projekti të madh hartografie në internet. Hakerat tanë përdorin skanimin e portit për të ekzaminuar blloqe të veçanta IP dhe provojnë vrimat e hapura në sisteme për dobësitë. Ata ekzaminojnë secilën vrimë për të dhënat që dalin. 

Kur ata gjejnë një shkelje të të dhënave, ata përdorni teknikat e ekspertëve për të verifikuar identitetin e bazës së të dhënave. Ne atëherë paralajmëroni kompaninë në shkelje. Nëse është e mundur, ne gjithashtu do të paralajmërojmë ata që preken nga shkelja.

Ekipi ynë ishte në gjendje të hynte në këtë bazë të dhënash sepse ishte plotësisht i pasigurt dhe i pakriptuar. 

Kompania përdor një bazë të dhënash Elasticsearch, e cila zakonisht nuk është krijuar për përdorim URL. Sidoqoftë, ne ishim në gjendje ta përdorim atë përmes shfletuesit dhe të manipulonim kriteret e kërkimit të URL-së në ekspozimin e skemave nga një indeks i vetëm në çdo kohë. 

Qëllimi i këtij projekti hartografie në internet është të ndihmoni për ta bërë internetin më të sigurt për të gjithë përdoruesit. 

Si hakerë etikë, ne jemi të detyruar të informojmë një kompani kur zbulojmë të meta në sigurinë e tyre në internet. Kjo është veçanërisht e vërtetë kur shkelja e të dhënave të kompanive përmban një informacion të tillë privat.

Sidoqoftë, këto etikë nënkuptojnë gjithashtu që mbajmë një përgjegjësi para publikut. Përdoruesit e harlisur duhet të jenë të vetëdijshëm për një shkelje të dhënash që ndikon gjithashtu në to.

Rreth nesh dhe raportet e mëparshme

vpnMentor është uebfaqja më e madhe në botë për shqyrtimin e VPN-së. Laboratori ynë hulumtues është një shërbim pro bono që përpiqet të ndihmojë komunitetin online të mbrohet kundër kërcënimeve në internet ndërsa edukon organizatat për mbrojtjen e të dhënave të përdoruesve të tyre. Kohët e fundit zbuluam një shkelje të madhe të të dhënave që prek 80 milion familjet e SHBA. Ne gjithashtu zbuluam se një shkelje në Biostar 2 komprometoi të dhënat biometrike të mbi 1 milion njerëzve. Ju gjithashtu mund të dëshironi të lexoni Raportin tonë të Rrjedhjeve VPN dhe Statistikat e Statistikave të Intimitetit të të Dhënave.

Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map