Raporti: VEED.io ekspozon videot private të përdoruesit në rrjedhje të të dhënave


Ekipi hulumtues i vpnMentor, i udhëhequr nga analistët e njohur Noam Rotem dhe Ran Locar, zbuloi kohët e fundit një shkelje e sigurisë në një bazë të dhënash që i përket platformës së redaktimit të videove VEED.io.

VEED me qendër në Londër u jep përdoruesve mjetet për të ngarkoni video dhe optimizojini ato për shpërndarje në mediat sociale. Me mbi 50,000 përdorues në të gjithë botën, baza e tyre e klientëve përfshin krijues, ndikues, bizneset e korporatave, dhe përdoruesit e rregullt të mediave sociale. 

Baza e të dhënave e shkelur kompromentoi privatësinë e secilit përdorues të VEED, duke ekspozuar të gjithë përmbajtjen e ngarkuar në platformë në formën e tij të papërpunuar. Kjo përfshin video private me një natyrë shumë të ndjeshme. 

Afati kohor i zbulimit dhe reagimit të pronarit

Ndonjëherë, shkalla e një shkelje të të dhënave dhe pronarit të bazës së të dhënave janë të dukshme, dhe çështja zgjidhet shpejt. Por janë të rralla këto kohë. Më shpesh, na duhen ditë hetimi përpara se të kuptojmë se çfarë është në diskutim ose kush po i zbulon të dhënat.

Kuptimi i një shkeljeje dhe ndikimi i tij i mundshëm kërkon vëmendje dhe kohë të kujdesshme. Ekipi ynë duhet të jetë i plotë dhe të sigurohet që gjithçka që ne të gjeni është e saktë dhe e vërtetë. Herë pas here, palët e prekura mohojnë faktet, duke mos marrë parasysh hulumtimin tonë ose duke luajtur ndikimin e tij. 

Për fat të mirë, këtë herë rreth ekipit shpejt identifikuan VEED si pronarë të të dhënave. I pritur në Amazon Web Services (AWS), baza e të dhënave ishte një kovë S3 – një formë e zakonshme e ruajtjes në AWS. 

Ne kontaktuam kompaninë për t’i paralajmëruar ata për cenueshmërinë, megjithatë, kaluan shumë javë para se të morëm një përgjigje. Në ndërkohë, ne gjithashtu kontaktuam AWS direkt për t’i njoftuar ata për këtë çështje. Pasi AWS arriti të VEED, shkelja u mbyll. 

  • Data e zbuluar: 12/10
  • Shitësit e datës kontaktuan: 15/10
  • Data e kontaktit me AWS: 27/10
  • Data e përgjigjes nga AWS: 29/10
  • Data e veprimit: Përafërsisht. 11/05
  • Data e përgjigjes nga VEED: 21/11/19

Shembull i hyrjeve në bazën e të dhënave

Kova AWS përmbante 10,000 video të të dy formave të papërpunuara dhe të redaktuara. Këto kishin qenë të ngarkuar nga përdoruesit e VEED në të gjithë globin dhe përfshinte materiale marketing, video familjare dhe madje edhe pornografi të bëra në shtëpi. 

Eshte gjithashtu të jetë e mundur që disa nga videot përfshinin forma të ndryshme të përmbajtjes ilegale.

Studiuesit tanë ishin të aftë për të hyrë dhe për të parë, në teori, çdo përmbajtje të ngarkuar në VEED, pavarësisht nëse është bërë për shikim privat apo publik. 

Ndikimi i thyerjes së të dhënave

Kjo shkelje e të dhënave përfaqëson një humbje serioze në protokollin themelor të sigurisë për VEED. Duke ekspozuar tërë bazën e të dhënave të tyre të përmbajtjes së krijuar nga përdoruesi, ato rrezikuan privatësinë e klientëve të tyre, si dhe tërë biznesin e tyre. 

Siguria e të dhënave është një shqetësim në rritje për të gjithë përdoruesit e internetit pavarësisht se çfarë uebsajti, mjeti ose platforma që po përdorin. Bizneset që përdorin VEED për marketing dhe qëllime promovuese do të shqetësohen për to përmbajtja private ishte e hapur për publikun përpara se ta lëshonin atë, duke çuar kështu në humbje të klientëve ose veprime juridike të korporatave.

Në mënyrë të ngjashme, nëse disa video përfshijnë përmbajtje të paligjshme, kjo mund të bëjë VEED përgjegjës për veprim juridik. 

Për përdoruesit individualë, baza e të dhënave e ekspozuar i kompromentoi ata personalisht. Ishte e paqartë se cilat skedarë video ishin menduar për përdorim privat dhe cilat ishin të destinuara për t’u ngarkuar në media sociale. 

Merrni për shembull, materiali pornografik. 

Krijuesit e këtyre videove do të ishin në mënyrë të arsyeshme të pakëndshme meqë ato të jenë të arritshme për publikun. Kjo është më serioze sesa thjesht potencialisht e turpshme: pornografia private, intime, e bërë në shtëpi është një mjet i vlefshëm për shantazhet dhe zhvatjet. 

Kriminelët dhe hakerat me qëllim të keq mundën këto video kundër krijuesve të tyre për t’i synuar ato në mënyra të ndryshme, me pasoja shkatërrimtare, personalisht dhe financiarisht.

Këshilla nga ekspertët

VEED mund të kishte shmangur lehtësisht këtë rrjedhje nëse do të kishin marrë disa masa themelore të sigurisë për të mbrojtur kovën S3. Anydo kompani mund të përsëris hapat e mëposhtëm, pavarësisht nga madhësia e saj:

  1. Siguroni serverat tuaj.
  2. Zbatimi i rregullave të duhura të hyrjes.
  3. Asnjëherë mos lini një sistem që nuk kërkon autentifikim të hapur për internetin.

Për një udhëzues më të thelluar se si të mbroni biznesin tuaj, shikoni udhëzuesin tonë për të siguruar faqen tuaj të internetit dhe bazën e të dhënave online nga hakerat.

Për VEED përdoruesit

Për dallim nga shumica e rrjedhjeve të të dhënave, ne i zbulojmë dhe analizojmë, duke ndryshuar detajet e hyrjes në llogarinë tuaj nuk do të ndryshojnë këtu. Përmbajtja e ekspozuar nga video e ekspozuar në VEED pa kërkuar detaje të hyrjes së një përdoruesi për të hyrë në të.

Per kete arsye, varet nga VEED për të mbyllur shkeljen dhe për të mbrojtur videot nga palët e jashtme. 

Nëse jeni një përdorues i VEED dhe i shqetësuar se si mund të ndikojë kjo shkelje tek ju, kontaktoni ata dhe pyesni se cilat hapa po ndërmarrin. 

Për të mësuar në lidhje me dobësitë e të dhënave në përgjithësi dhe si të mbroni tuajin nga rrjedhjet, lexoni tonë udhëzues i plotë për privatësinë në internet.

Kjo ju tregon mënyrat e shumta që kriminelët kibernetikë synojnë përdoruesit e internetit, dhe hapat që mund të ndërmerrni për të qëndruar të sigurt.

Si dhe pse e zbuluam shkeljen

Ekipi i kërkimit vpnMentor zbuloi shkeljen në bazat e të dhënave të VEED si pjesë e një projekt i madh hartografie në internet. Hakerat tanë përdorin skanimin e portit për të ekzaminuar blloqe të veçanta IP dhe provojnë vrimat e hapura në sisteme për dobësitë. Ata ekzaminojnë secilën vrimë për të dhënat që dalin. 

Kur ata gjejnë një shkelje të të dhënave, ata përdorin teknika të ekspertëve për të verifikuar identitetin e bazës së të dhënave. Ne pastaj njoftojmë kompaninë për shkeljen. Nëse është e mundur, ne gjithashtu do të paralajmërojmë ata që preken nga shkelja.

VEED po përdorte një bazë të dhënash të hapur të S3 Bucket në AWS, të cilën ata nuk e kishin siguruar si duhet. Ndërsa AWS ofron mjetet për të siguruar kovat, duke i bërë ato të paarritshme për palët e jashtme, u takon klientëve të tyre t’i përdorin ato. 

Ne ishim në gjendje të hyrnim në kovën S3 të VEED sepse ishte plotësisht i pasigurt dhe i pakriptuar. Duke përdorur një shfletues në internet, ekipi mund të hynte në të gjithë skedarët e pritur në bazën e të dhënave.

Qëllimi i këtij projekti hartografie në internet është të ndihmojë në bërjen e internetit më të sigurt për të gjithë përdoruesit. 

Si hakerë etikë, ne jemi të detyruar të informojmë një kompani kur zbulojmë të meta në sigurinë e tyre në internet. Kjo është veçanërisht e vërtetë kur shkelja e të dhënave të kompanisë përmban një informacion kaq të ndjeshëm dhe të dëmshëm.

Këto etikë nënkuptojnë gjithashtu ne mbajmë një përgjegjësi para publikut. Përdoruesit e VEED duhet të jenë të vetëdijshëm për një shkelje të të dhënave që ndikon në to.

Rreth nesh dhe raportet e mëparshme

vpnMentor është uebfaqja më e madhe në botë për shqyrtimin e VPN-së. Laboratori ynë hulumtues është një shërbim pro bono që përpiqet të ndihmojë komunitetin online të mbrohet kundër kërcënimeve në internet ndërsa edukon organizatat për mbrojtjen e të dhënave të përdoruesve të tyre. 

Kohët e fundit zbuluam një shkelje të madhe të të dhënave që prek 80 milion familjet e SHBA. Ne gjithashtu zbuluam se një shkelje në Biostar 2 komprometoi të dhënat biometrike të mbi 1 milion njerëzve. Ju gjithashtu mund të dëshironi të lexoni Raportin tonë të Rrjedhjeve VPN dhe Statistikat e Statistikave të Intimitetit të të Dhënave.

Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map