Xəbər: VEED.io Məlumat Sızması Şəxsi İstifadəçi Videolarını Açıqlayır


vpnMentor’un bu yaxınlarda kəşf edilmiş məşhur analitiklər Noam Rotem və Ran Locarın rəhbərlik etdiyi tədqiqat qrupu VEED.io video tənzimləmə platformasına aid bir verilənlər bazasında təhlükəsizlik pozuntusu.

Londonda yerləşən VEED istifadəçilərə alətləri təqdim edir video yükləyin və sosial mediada paylaşmaq üçün optimallaşdırın. Artıq ilə Dünyada 50.000 istifadəçi, onların müştəri bazasına yaradıcılar, təsir edənlər, korporativ biznes daxildir, və müntəzəm sosial media istifadəçiləri. 

Pozulmuş verilənlər bazası platforma yüklənmiş məzmunun hamısını, redaktə olunmamış formasını ifşa edən hər VEED istifadəçisinin məxfiliyinə xələl gətirdi. Buraya çox həssas bir təbiətə aid xüsusi videolar daxil idi. 

Aşkaretmə və Sahibin reaksiya qrafiki

Bəzən bir məlumat pozuntusunun dərəcəsi və verilənlər bazasının sahibi bəlli olur və məsələ tez həll olunur. Ancaq bu nadir hallarda olur. Tez-tez, nəyin baş verdiyini və ya məlumatları kimin sızdığını anlamazdan əvvəl araşdırma günlərinə ehtiyac duyuruq.

Bir pozuntu və bunun mümkün təsirini anlamaq diqqətli vaxt və vaxt tələb edir. Komandamız diqqətli olmalıdır və tapdığımız hər şeyin doğru və doğru olduğuna əmin olmalıdır. Bəzən təsirlənmiş tərəflər araşdırmalarımızı nəzərə almadan və ya təsirini azaltmaqla faktları inkar edirlər. 

Xoşbəxtlikdən, bu dəfə komanda ətrafında VEED məlumatların sahibi olaraq tez bir zamanda müəyyən edildi. Amazon Web Services-də (AWS) yerləşdirilən verilənlər bazası S3 Bucket idi – AWS-də ümumi saxlama forması.. 

Zəifliyi xəbərdar etmək üçün şirkətlə əlaqə saxladıq, cavab aldığımızdan bir neçə həftə əvvəl idi. Bu vaxt AWS ilə birbaşa əlaqə qurduq və bu barədə onlara məlumat verdik. AWS VEED-ə çatdıqdan sonra qayda bağlandı. 

  • Aşkar edilən tarix: 12/10
  • Tarix satıcıları əlaqə saxladı: 15/10
  • AWS ilə əlaqə tarixi: 27/10
  • AWS-dən cavab tarixi: 29/10
  • Fəaliyyət tarixi: Təxminən. 05/11
  • VEED-dən cavab tarixi: 21/11/19

Verilənlər bazasında girişlərin nümunəsi

AWS kovası həm xam, həm də redaktə edilmiş formada 10.000 videoçarx var. Bunlar olmuşdu dünyanın dörd bir tərəfindəki VEED istifadəçiləri tərəfindən yüklənmiş və marketinq materialları, ailə videoları və hətta evdə hazırlanan pornoqrafiya. 

Bu da mümkün olan bəzi videolarda qeyri-qanuni məzmunun müxtəlif formaları yer aldı.

Tədqiqatçılarımız idi nəzəri olaraq VEED-ə yüklənmiş istənilən məzmunu əldə edə və görə bilər, fərdi və ya ictimai baxış üçün edilmiş olub-olmamasından asılı olmayaraq. 

Məlumatların pozulması təsiri

Bu məlumat pozuntusu təmsil edir VEED üçün əsas təhlükəsizlik protokolunda ciddi bir boşluq. Istifadəçi tərəfindən yaradılan məzmunun bütün məlumat bazalarını ifşa edərək, onlar müştərilərin, eləcə də bütün işlərinin məxfiliyini riskə atdı. 

Məlumat təhlükəsizliyi bütün internet istifadəçiləri üçün artan bir narahatlıqdır hansı veb saytdan, vasitədən və ya platformadan istifadə etməyindən asılı olmayaraq. VEED-i marketinq və tanıtım məqsədləri üçün istifadə edən şirkətlər maraqlanacaqlar şəxsi məzmun, müştərilərin itməsinə və ya korporativ qanuni fəaliyyətə səbəb ola biləcək şəkildə yayılmadan əvvəl ictimaiyyət üçün açıq idi.

Eynilə, bəzi videolarda qeyri-qanuni məzmun varsa, bu edə bilər VEED qanuni əməliyyat üçün məsuliyyət daşıyır. 

Fərdi istifadəçilər üçün məruz qalan verilənlər bazası onları şəxsən güzəştə getdi. Hansı video sənədlərin şəxsi istifadəyə verildiyi və sosial mediaya yüklənməsi üçün nəzərdə tutulduğu məlum deyildi. 

Məsələn götürək, pornoqrafik material. 

Bu videoların yaradıcıları onların ictimaiyyətə açıq olması ilə kifayət qədər narahat olardılar. Bu potensial olaraq utandıranlardan daha ciddidir: şəxsi, intim, evdə hazırlanan pornoqrafiya şantaj və qəsbdə dəyərli bir vasitədir. 

Cinayətkarlar və zərərli hakerlər bu videoları yaradıcılarına qarşı edə bildilər şəxsən və maddi cəhətdən dağıdıcı nəticələri ilə onları müxtəlif yollarla hədəfə almaq.

Mütəxəssislərin tövsiyələri

VEED, bəzi əsas təhlükəsizlik tədbirləri görsəydi, bu sızıntının qarşısını asanlıqla ala bilərdi S3 Kovanı qorumaq üçün. Hər hansı bir şirkət, ölçüsündən asılı olmayaraq aşağıdakı addımları təkrarlaya bilər:

  1. Serverlərinizi təhlükəsiz edin.
  2. Düzgün giriş qaydalarını tətbiq edin.
  3. Doğrulama tələb etməyən bir sistemi heç vaxt internetə buraxmayın.

Biznesinizi necə qorumaq barədə daha dərindən bələdçi üçün veb saytınızı və onlayn verilənlər bazanızı hakerlərdən qorumaq üçün bələdçimizə baxın..

VEED üçün İstifadəçilər

Bir çox məlumat sızıntısından fərqli olaraq kəşf və təhlil edirik, hesabınızın giriş məlumatlarını dəyişdirmək burada heç bir dəyişiklik yaratmır. İstifadəçinin giriş məlumatlarını tələb etmədən VEED-ə yüklənmiş sızan video məzmun.

Bu səbəbdən, pozuntuları bağlamaq və kənar tərəflərdən video qorumaq VEED-ə qədərdir. 

Əgər siz VEED istifadəçisisinizsə və bu pozuntunun sizə necə təsir etməsindən narahat olursunuz, onlarla əlaqə qurun və hansı addımları atdıqlarını soruşun. 

Ümumilikdə məlumatların zəifliyi və sızanlardan qorunmağın yollarını öyrənmək, oxuyun bizim onlayn məxfiliyə tam bələdçi.

Bu, kibercinayətkarların internet istifadəçilərini hədəf almasının bir çox yolunu göstərir təhlükəsiz qalmaq üçün atacağınız addımlar.

Qəzanı necə və niyə kəşf etdik

VpnMentor tədqiqat qrupu bir hissəsi olaraq VEED’in məlumat bazalarındakı pozuntuları aşkarladı nəhəng bir veb xəritə layihəsi. Hakerlərimiz, müəyyən IP bloklarını yoxlamaq və zəif boşluqlar üçün sistemlərdə açıq dəlikləri sınamaq üçün port taramasından istifadə edirlər. Məlumatların sızması üçün hər bir çuxuru araşdırırlar. 

Məlumat pozuntusu tapdıqda, verilənlər bazasının şəxsiyyətini yoxlamaq üçün ekspert üsullarından istifadə edirlər. Daha sonra şirkətdə pozuntular barədə xəbərdarlıq edirik. Mümkünsə, pozuntudan təsirlənənlərə də xəbərdar edəcəyik.

VEED, lazımi qaydada təmin edilmədikləri AWS-də açıq S3 Bucket verilənlər bazasından istifadə edirdi. AWS, çömçələri təmin etmək üçün vasitələr təqdim edərkən, kənar tərəflərə əlçatmaz hala gətirsə də, müştərilərin onlardan istifadə etməsinə bağlıdır. 

VEED-in S3 Bucket-i əldə edə bildik, çünki tamamilə təminatsız və şifrəsiz qaldı. Veb brauzerindən istifadə edərək komanda verilənlər bazasında yerləşdirilən bütün faylları əldə edə bildi.

Bu veb Xəritəçəkmə layihəsinin məqsədi internetin bütün istifadəçilər üçün daha etibarlı olmasına kömək etməkdir. 

Etik hakerlər kimi, bir şirkətə məlumat vermək məcburiyyətindəyik onların onlayn təhlükəsizliyindəki qüsurları aşkar etdikdə. Bu, şirkətin məlumat pozuntusunda belə həssas və ziyanlı məlumatları ehtiva edərkən xüsusilə doğrudur.

Bu etika da deməkdir xalqa bir məsuliyyət daşıyırıq. VEED istifadəçiləri onlara təsir edən məlumat pozuntusundan xəbərdar olmalıdırlar.

Haqqımızda və əvvəlki hesabatlar

vpnMentor dünyanın ən böyük VPN baxış veb saytıdır. Tədqiqat laboratoriyamız, istifadəçilərin məlumatlarını qorumaq üçün təşkilatlara məlumat verərkən onlayn cəmiyyətin kiber təhdidlərdən qorunmasına kömək etməyə çalışan bir xidmətdir.. 

Bu yaxınlarda 80 milyon ABŞ ev təsərrüfatına təsir göstərən böyük bir məlumat pozuntusu aşkar etdik. Biostar 2-də baş verən bir pozuntu 1 milyondan çox insanın biometrik məlumatlarına zərbə vurduğunu da aşkar etdik. Ayrıca VPN Kaçak Hesabatı və Məlumat Gizlilik Statistikaları Hesabatımızı oxumaq istəyə bilərsiniz.

Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map