Categories
科技報導

PussyCash遭遇數據洩露 大量會員敏感數據被曝光



由 Noam Rotem 和 Ran Locar 領導的網絡安全研究小組,在 PussyCash 位於弗吉尼亞州的亞馬遜存儲服務器上發現了一個洩露源,其中包含了 19.95GB 的可見數據。作為一個會員制的網絡,PussyCash 還擁有 ImLive 等成人網站品牌。然而本次數據洩露,已經曝光了超過 87.5 萬個文件中的 4000 多組個人數據和相似性,表明其具有高風險的現實意義。

Report-Adult-Site-Leaks-Extremely-Sensititve-Data-of-Cam-Models.jpg

PussyCash公司簡介

據悉,PussyCash 託管了多個成人網站的會員計劃,向網站管理員支付通過橫幅廣告發送到網站的進出站流量。

僅在網絡聊天平台 ImLive 上,就擁有 6600 萬的註冊會員,更別提其它數十個網站了。由 PussyCash 官網可知,其合作夥伴包括 BeNaughty、Xtube、Pornhub 等。

有些時候,數據洩露的問題很容易被找到並封堵,但特例並不常見。更多情況下,有關方面需要經過數天的調查,才能了解到潛在的風險、並向受害者發去通知。

一開始,研究人員僅認定了 ImLive 存儲桶中的幾條記錄被洩露。但最終,其發現 PussyCam 才是亞馬遜 S3 存儲服務器洩露數據的所有者。

發現事件:2020 年 1 月 3 日;

通知 PussyCash 與 ImLive:2020 年 1 月 4 日;

亞馬遜記錄:2020 年 1 月 7 日;

ImLive 答复:2020 年 1 月 7;

採取行動:2020 年 1 月 9 日。

遺憾的是,PussyCash 從未就本次數據洩露的聯繫嘗試作出任何回應。好消息是,ImLive 那邊最終回了一封電子郵件,指出他們會妥善處理、並將信息傳遞給 PussyCash 技術團隊。

目前已知至少有 87.5 萬個不同類型的文件洩露,包括視頻、營銷材料、照片、視頻聊天片段、屏幕截圖、以及 zip 文件。老文件有 15~20 年前,最新的甚至可追溯到最近幾週。

更糟糕的是,洩露數據中還包括了完整的護照和國民身份證的照片與掃描件,包括可見的全名、生日、出生地、公民身份、籍貫、護照/ 身份證件號碼、護照簽發日/有效期、註冊性別、證件照、個人簽名、父母全名、指紋等敏感信息。

專家指出,若 PussyCash 採取了一些基本的保障措施,則 S3 存儲服務器的洩露事件就不會輕易發生。其建議企業對服務器施加適當的訪問規則,用戶也不應該輕易地將過多的身份驗證信息提交至互聯網系統使用。