ანგარიში: მონაცემთა დარღვევა მოზრდილებში საიტის კომპრომისებში ყველა მომხმარებლის კონფიდენციალურობაში

VpnMentor- ის სამეცნიერო ჯგუფმა აღმოაჩინა ნოამ როტემ და რან ლოკარმა მონაცემთა დარღვევა მოზრდილ საიტზე Luscious.

Luscious არის ნიშა პორნოგრაფიული სურათების საიტი, რომელიც ძირითადად ანიმაციებზეა ორიენტირებული, მომხმარებლის ატვირთული შინაარსი. ჩვენი გუნდის მიერ ჩატარებული კვლევების საფუძველზე, საიტზე განთავსებულია საიტები რეგისტრირებულია 1 მილიონზე მეტი მომხმარებელი. თითოეულ მომხმარებელს აქვს პროფილი, რომლის დეტალებზე წვდომა შესაძლებელია ჩვენი კვლევის საშუალებით. 

პირადი პროფილები მომხმარებლებს საშუალებას აძლევს ატვირთონ, გააზიარონ, გააკეთონ კომენტარი და განიხილონ შინაარსი Luscious. ეს ყველაფერი გასაგებია, როდესაც ხდება საკუთარი ვინაობის დამალვა სახელების უკან.

ჩვენი გუნდის მონაცემებმა დაარღვია კომპრომეტირებს ამ ანონიმურობას ჰაკერების პოტენციურად დაშვებით წვდომა მომხმარებლების პირად დეტალებზე, მათ შორის პირად ელ.ფოსტის მისამართზე. Luscious შინაარსის ძალიან მგრძნობიარე და პირადი ბუნება ქმნის მომხმარებლები წარმოუდგენლად დაუცველი არიან თავდასხმებისა და ექსპლუატაციის მიმართ მავნე ჰაკერების მიერ.

აღმოჩენის დროისა და მფლობელის რეაქციის ვადები

  • აღმოჩენილი თარიღი: 15/08/19
  • თარიღის მფლობელი დაუკავშირდა: 16/08/19

მონაცემთა ბაზაში შესვლის მაგალითები

მონაცემთა დარღვევამ ჩვენს გუნდს მისცა წვდომა 1.195 მილიონი მომხმარებლის ანგარიშებზე on Luscious. ეს ყველაფერი კომპრომეტირებული იყო, რაც მომხმარებლების პირად დეტალებს ამჟღავნებდა პოტენციურად დამანგრეველი შედეგები. 

პირადი პირადი მომხმარებლის დეტალები, რომელიც ჩვენ ვნახეთ, მოიცავდა:

  • სახელები
  • პირადი ელ.ფოსტის მისამართები
  • მომხმარებლის საქმიანობის ჟურნალი (შემოერთების თარიღი, უახლესი შესვლა)
  • საცხოვრებელი ქვეყანა / ადგილმდებარეობა
  • გენდერი

ზოგიერთი მომხმარებელი ელ.ფოსტის მისამართებში მითითებულია მათი სრული სახელები და იზრდება მათი დაუცველობა ექსპლუატაციისა და კიბერდანაშაულისკენ.

აღსანიშნავია ეს ჩვენ ვაფასებთ Luscious ანგარიშებზე ელ.ფოსტის 20% -ს რეგისტრაციისთვის იყენებენ ყალბი ელ.ფოსტის მისამართებს. ეს მეტყველებს იმაზე ზოგიერთი Luscious მომხმარებლები აქტიურად იღებენ დამატებით ნაბიჯებს ანონიმურად დარჩენა. 

მომხმარებლის ქცევა & Საქმიანობის

მონაცემთა დარღვევამ ასევე მისცა მომხმარებლის საქმიანობის სრული მიმოხილვა. ეს საშუალებას მოგვცემდა ვნახოთ ისეთი რამ, როგორიცაა:

  • მათ მიერ შექმნილ სურათების ალბომების რაოდენობა
  • ვიდეოს ატვირთვები 
  • კომენტარები 
  • ბლოგის შეტყობინებები
  • ფავორიტები
  • მიმდევრები და ანგარიშები მოჰყვა
  • მათი მომხმარებლის ID ნომერი – ასე რომ, ჩვენ შეგვიძლია ვიცოდეთ, აქტიურია თუ აკრძალულია

მიუხედავად იმისა, რომ ამ ინფორმაციის ზოგიერთი მომხმარებელი ჩანს სხვა მომხმარებლებისთვის, მისი დიდი ნაწილი იმალებოდა ვებგვერდის მონაცემთა ბაზაში. ყველა ეს კომბინირებული ინფორმაცია ქმნის მნიშვნელოვან წარმოდგენას იმის შესახებ, თუ როგორ იყენებენ ადამიანები Luscious.

ჩვენი გუნდის ნახვაც შეძლო ბლოგის შეტყობინებებისა და შინაარსის შესახებ დეტალები. ეს მოიცავდა ავტორის დეტალებს, ისევე, როგორც მოსწონს, გამოქვეყნების, კატეგორიის და ა.შ..

ზოგი მათგანი ბლოგის პოსტები იყო ძალიან პირადი – დეპრესიული ან სხვაგვარად დაუცველი შინაარსის ჩათვლით – და ინახება ანონიმურად. ამ მონაცემების დარღვევის გამო, ბლოგის პოსტები ანონიმური აღარ არის, სადაც გამოვლენილია მრავალი ავტორის ვინაობა. 

ანალოგიურად, Luscious ატვირთვის სურათებისთვის, ჩვენ მოვიპოვეთ დეტალური ინფორმაცია სურათების ინდექსი, მათ შორის, ვინ შექმნა ისინი.

დაზარალებული 1 მილიონი მომხმარებელი მთელ მსოფლიოში მდებარეობს, მათი ადგილმდებარეობებით ასევე გამოვლენილია დარღვევაში. კვლევის დროს ჩვენ შევძელიდით მომხმარებლის პროფილებს ევროპიდან, აზიიდან, ავსტრალიიდან და ამერიკიდან. 

მაგალითად, “.fr” -ში დაახლოებით 13,000 ელ.ფოსტის მისამართი აღმოვაჩინეთ, რაც მონაცემთა ბაზის დაახლოებით 1.25% -ს წარმოადგენს. თუ გავითვალისწინებთ იმ ფრანგი ხალხის რაოდენობას, რომლებიც იყენებენ ელ.ფოსტის ჰოსტინგს, როგორიცაა Gmail, რომელიც დასრულებულია “.com” – ში და ეფუძნება იმ ფრანგულ სახელებს, რომლებიც ვნახეთ @ gmail.com მისამართებზე.- ჩვენ შეფასებით, ფრანგი მომხმარებლების რეალური რაოდენობა დაახლოებით 3 ჯერ მეტია: დაახლოებით 40,000.

ქვემოთ მოცემულია ცხრილი, სადაც აღწერილია Luscious მომხმარებლების საერთაშორისო განაწილება, ელექტრონული ფოსტის მისამართების და რეალური რიცხვების შეფასების საფუძველზე, Gmail- ის ანგარიშებისა და Sameweb- ის სტატისტიკის გათვალისწინებით..

 ქვეყანამომხმარებელთა ჩვენი შეფასებით, DB– ში ნაპოვნი ელექტრონულ მისამართებზე დაყრდნობით
 საფრანგეთი  40 000
 ნიდერლანდები 8000
 შვედეთი 6000
 გერმანია 50,000
 ესპანეთი 7000
 რუსეთი 35,000
 ისრაელი 1.000
 იტალია 18,000
 ბრაზილია 10,000
 კანადა 15,000
 ავსტრალია 5,000
 პოლონეთი 20,000
 იაპონია 6000
 ინდოეთი 6000

შეშფოთების უფრო დიდი საკითხია ის ფაქტი ბევრი მომხმარებელი შეუერთდა Luscious ოფიციალურ წერილებს. ამის მაგალითები მაგალითები ვიპოვნეთ ბრაზილიაში, ავსტრალიაში, იტალიაში, მალაიზიასა და ავსტრალიაში. 

დომენიმომხმარებელთა ჩვენი შეფასებით, DB– ში ნაპოვნი ელექტრონულ მისამართებზე დაყრდნობით
.edu ათასზე ნაკლები
.მთავრობა ათობით

ეს დამატებით ბევრს მატებს დაუცველობა არა მხოლოდ მომხმარებლების, არამედ მათი დამსაქმებლების მიმართ. თანამშრომლის ელ.ფოსტის მისამართებზე წვდომით, კრიმინალურ ჰაკერებს შეუძლიათ სამიზნე სამთავრობო უწყებებსა და განყოფილებებს მრავალი გზით.

მონაცემთა დარღვევის გავლენა

ამ მონაცემთა დარღვევის გავლენა მომხმარებლებზე შეიძლება იყოს დამანგრეველი, პირადად და ფინანსურად. აქტივობა ზრდასრულ საიტებზე, როგორიცაა Luscious ყველაზე კერძო ბუნებით, და არავინ ელოდება ამას.  

მისი ექსპოზიცია შეიძლება იყოს დამანგრეველია მსხვერპლის ურთიერთობებისა და პირადი ცხოვრებისათვის. 

ინფორმაცია ხელმისაწვდომია Luscious მონაცემთა ბაზაში კრიმინალურ და მავნე ჰაკერებს მრავალ ვარიანტს აძლევს ამ მონაცემების გამოყენებას უკანონო სარგებელისთვის და მომხმარებლების ათვისებისთვის. 

დოქსინგი

Doxing ეხება ინტერნეტის გამოძიების მოქმედებას მომხმარებლის ვინაობა და მისი საჯაროობა, ჩვეულებრივ, მუქარის განზრახვით. Luscious მომხმარებლების ელ.ფოსტის მისამართებსა და მდებარეობებზე წვდომით, ჰაკერებს მარტივად შეეძლოთ მათი პროფილების განთავსება სოციალურ მედიაში და მსგავსი საიტები. 

ამ ინფორმაციის საშუალებით, Luscious მომხმარებელს ექვემდებარება რისკის ქვეშ საჯაროდ გამოქვეყნება ვებსაიტზე თავიანთი საქმიანობის გამო. ისინი შეიძლება იყვნენ გამიზნულია შევიწროების, ბულინგის, ან დეტალების გაზიარებისთვის ოჯახთან, მეგობრებთან და დამსაქმებლებთან ერთად. 

თუ გავითვალისწინებთ შინაარსს Luscious- ზე, ასეთი კამპანიის შედეგები შეიძლება დამანგრეველი იყოს. 

გამოძალვა

მას შემდეგ, რაც Luscious მომხმარებლის ვინაობა იქნება კომპრომეტირებული, ისინი შეიძლება მიზნად ისახავდნენ უფრო მეტ ბულინგს. ჰაკერებს შეუძლიათ საფრთხე შეუქმნან მომხმარებლების გამოსვლას, თუ არ გადაიხდიან გამოსასყიდს. ამ მონაცემთა დარღვევის მგრძნობიარე ხასიათის გათვალისწინებით, დაზარალებულები წარმოუდგენლად დაუცველია და სავარაუდოდ გადაიხდიან. 

თუმცა, გამოსასყიდის გადახდა არ უზრუნველყოფს თქვენი დეტალების გარკვევას. ამ მონაცემების მოპარვის შემდეგ, იგი შეიძლება გამოყენებულ იქნას და გაიყიდეს უსასრულოდ. ეს მომხმარებლებს გახსნის შესაძლებლობას ტოვებს მიმდინარე გამოძალვა ერთი ჰაკერისგან, პოტენციური მათი Luscious საქმიანობა, რომელიც ჯერ კიდევ სხვის მიერ უნდა გაჟონოს.

ფიშინგი

ფიშინგი ეხება შექმნას მიბაძვისთვის გაგზავნილი ელ.წერილი ელ.წერილს პაროლების ან სხვა კომპრომისული ინფორმაციის მიწოდების, ფინანსური ანგარიშების ან საკრედიტო ბარათების წვდომის და მოწყობილობაზე მავნე პროგრამების ჩასმისას. 

ჰაკერი ან კიბერდანაშაული აგზავნის მიზანს ელ.ფოსტით გაკეთდა, რომ გამოიყურებოდეს ლეგიტიმური ბიზნესის ან ორგანიზაციის, რომელსაც მსხვერპლი უკვე იყენებს, სასურველი ინფორმაციის ან მცენარეთა malware მოპოვების მიზნით. 

ელექტრონული ფოსტის მისამართების და ადგილმდებარეობის პერსონალური მონაცემების გამოვლენით, მონაცემთა Luscious დარღვევა ხელს უწყობს კრიმინალებს მომხმარებლების მიზნობრივი გამოყენების მიზნით, მომავალი ექსპლუატაციის, თაღლითობის ან ქურდობისთვის. მათ შეუძლიათ ამ ინფორმაციის გამოყენება შექმენით ეფექტური თაღლითობის ელ.ფოსტები და პირდაპირ გაგზავნეთ მომხმარებლის ელ.ფოსტის ყუთში – ამ გზით, ისინი ასევე გამოირჩევიან სპამისა და უსარგებლო ფოსტისგან.

კონკურენტის მოქმედებები

ამ მონაცემთა დარღვევა ასევე Luscious დაუცველს ხდის. თვეში 1 მილიონზე მეტი მომხმარებელით და 20 მილიონზე მეტი ვიზიტით წამყვანი ვებსაიტი თავის ნიშში. ეს ასევე უდავოდ არის ძალიან მომგებიანი. 

ახლავე გაირკვა პირადი ინფორმაცია, Luscious ”კონკურენტებს ასევე შეუძლიათ გააანალიზონ მომხმარებლის ქცევა – მათი რჩეული, რა მოსწონთ, როგორ ურთიერთობენ სხვა მომხმარებლებთან – და მიზნად ისახავს უკეთესი ალტერნატივები. ჩვეულებრივ, ონლაინ ბიზნესი ყველაფერ ამ ინფორმაციას უსაფრთხოდ მალავს, როგორც ეს წარმოადგენს დიდ რისკს მათი ბიზნეს მოდელისთვის და შემოსავლისთვის.

რჩევა ექსპერტებისაგან

ამ მონაცემთა გაჟონვის თავიდან აცილება მარტივად შეიძლებოდა თუ ლუსიგენი წაიღებდა ზოგიერთს უსაფრთხოების ძირითადი ზომები. მათი გამეორება შეიძლება ნებისმიერმა კომპანიამ, მიუხედავად მისი ზომისა:

  1. უსაფრთხო თქვენი სერვერები.
  2. წვდომის სათანადო წესების შესრულება.
  3. არასოდეს დატოვოთ ისეთი სისტემა, რომელსაც არ მოითხოვს ავტორიზაცია ინტერნეტისთვის ღია.

მომხმარებლებისთვის

გთავაზობთ დაუყოვნებლივ შეცვალეთ თქვენი Luscious ანგარიშის დეტალები, თქვენი მომხმარებლის სახელი და მათთან დაკავშირებული ელექტრონული ფოსტის მისამართი.  

ზრდასრული თემების მქონე ვებსაიტებისთვის ან მგრძნობიარე ხასიათის ნებისმიერი სხვა ვებგვერდისთვის ყოველთვის შექმენით მომხმარებლის სახელი, რომელიც მთლიანად არ უკავშირდება თქვენს ელ.ფოსტის მისამართს ან სხვა ონლაინ ანგარიში. 

თუ თქვენ აღმოაჩინეთ თქვენი ადგილმდებარეობა Luscious– ზე, წაიშალეთ ეს დეტალი თქვენი პროფილისგან. Ასევე შეგიძლიათ შეცვალეთ თქვენი ადგილმდებარეობა VPN გამოყენებით.

ზოგადად, თქვენი ინტერნეტ კონფიდენციალურობის შესახებ მეტი ინფორმაციის მისაღებად და როგორ უნდა აიცილოთ მონაცემების დარღვევა თქვენს ცხოვრებაში და ბიზნესში, წაიკითხეთ ჩვენი სრული სახელმძღვანელო ონლაინ კონფიდენციალურობის შესახებ..

როგორ და რატომ აღმოვაჩინეთ ეს დარღვევა

VpnMentor– ის კვლევის ჯგუფმა აღმოაჩინა დარღვევა Luscious მონაცემთა ბაზაში, როგორც უზარმაზარი ვებ – რუქის პროექტის ნაწილი. ჩვენი ჰაკერები იყენებენ პორტის სკანირებას კონკრეტული IP ბლოკების შესამოწმებლად და სისუფთავე სისტემების ღია ხვრელების შესამოწმებლად. ისინი ამოწმებენ თითოეულ ხვრელს მონაცემების გაჟონვისთვის. 

როდესაც ისინი ხედავენ მონაცემთა დარღვევას, ისინი გამოიყენეთ საექსპერტო ტექნიკა მონაცემთა ბაზის პირადობის დასადგენად. ჩვენ შემდეგ გაფრთხილება კომპანიის შესახებ დარღვევაზე. თუ ეს შესაძლებელია, ჩვენ ასევე შეგვაფრთხილებთ დარღვევის შედეგად დაზარალებულებს.

ჩვენმა გუნდმა შეძლო ამ მონაცემთა ბაზაში წვდომა, რადგან იგი მთლიანად დაუცველი იყო და არაგნიფიცირებული. 

კომპანია იყენებს Elasticsearch მონაცემთა ბაზას, რომელიც ჩვეულებრივ არ არის შექმნილი URL– ის გამოყენებისთვის. ამასთან, ჩვენ შევძელით მას ბრაუზერის საშუალებით წვდომა და URL ძიების კრიტერიუმების მანიპულირება ნებისმიერი ინდექსის სქემების ექსპოზიციისთვის ნებისმიერ დროს. 

ვებ – რუკების ამ პროექტის მიზანია დაეხმარება ინტერნეტი უსაფრთხო იყოს ყველა მომხმარებლისთვის. 

როგორც ეთიკური ჰაკერები, ჩვენ ვალდებული ვართ შევატყობინოთ კომპანიას როდესაც ჩვენ ვპოულობთ ხარვეზებს მათ ონლაინ უსაფრთხოებაში. ეს განსაკუთრებით ეხება იმ შემთხვევაში, როდესაც კომპანიების მონაცემების დარღვევა შეიცავს ასეთ პირად ინფორმაციას.

ამასთან, ეს ეთიკა იმას ნიშნავს, რომ ჩვენ პასუხისმგებლობას ვკისრებთ საზოგადოებას. ბრწყინვალე მომხმარებლებმა უნდა იცოდნენ მონაცემთა დარღვევა, რაც მათზე გავლენას მოახდენს.

ჩვენს შესახებ და წინა მოხსენებები

vpnMentor არის მსოფლიოს უდიდესი VPN მიმოხილვის ვებ – გვერდი. ჩვენი კვლევის ლაბორატორია არის პრო ბონო მომსახურება, რომელიც ცდილობს ონლაინ საზოგადოებას დაეხმაროს თავი დაიცვას კიბერ საფრთხეებისაგან, ხოლო ორგანიზაციებს ვასწავლით მათი მომხმარებლების მონაცემების დაცვას. ჩვენ ცოტა ხნის წინ აღმოვაჩინეთ მონაცემთა უზარმაზარი დარღვევა, რაც გავლენას ახდენს 80 მილიონი აშშ-ს ოჯახზე. ჩვენ ასევე აღმოვაჩინეთ, რომ ბიოსტარ 2-ში დარღვეულმა ზიზღმა გამოიწვია 1 მილიონზე მეტი ადამიანის ბიომეტრიული მონაცემები. თქვენ ასევე შეგიძლიათ წაიკითხოთ ჩვენი VPN გაჟონვის ანგარიში და მონაცემთა კონფიდენციალურობის სტატისტიკის ანგარიში.

Kim Martin
Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me