รายงาน: การละเมิดข้อมูลในเว็บไซต์สำหรับผู้ใหญ่เป็นการละเมิดความเป็นส่วนตัวของผู้ใช้ทั้งหมด

นำโดย Noam Rotem และ Ran Locar ทีมวิจัยของ vpnMentor ค้นพบ การละเมิดข้อมูลในเว็บไซต์สำหรับผู้ใหญ่ Luscious.

Luscious เป็นเว็บไซต์ภาพลามกอนาจารโดยเน้นที่ภาพเคลื่อนไหวเป็นหลัก, เนื้อหาที่ผู้ใช้อัปโหลด. จากการวิจัยที่ดำเนินการโดยทีมงานของเราเว็บไซต์ได้ ผู้ใช้ที่ลงทะเบียนมากกว่า 1 ล้านคน. ผู้ใช้แต่ละคนมีประวัติโดยละเอียดซึ่งสามารถเข้าถึงได้ผ่านการวิจัยของเรา. 

โปรไฟล์ส่วนตัวอนุญาตให้ผู้ใช้อัปโหลดแชร์แสดงความคิดเห็นและหารือเกี่ยวกับเนื้อหาใน Luscious ทั้งหมดนี้สามารถทำได้อย่างเข้าใจได้ในขณะที่ ทำให้ตัวตนของพวกเขาถูกซ่อนอยู่หลังชื่อผู้ใช้.

ข้อมูลรั่วไหลทีมของเราค้นพบ ประนีประนอมตัวตนนี้ โดยอาจอนุญาตให้แฮกเกอร์ เข้าถึงรายละเอียดส่วนบุคคลของผู้ใช้รวมถึงที่อยู่อีเมลส่วนตัวของพวกเขา. ลักษณะที่ละเอียดอ่อนและเป็นส่วนตัวของเนื้อหาของ Luscious ผู้ใช้มีความเสี่ยงต่อการถูกโจมตีและการใช้ประโยชน์อย่างไม่น่าเชื่อ โดยแฮกเกอร์ที่เป็นอันตราย.

เส้นเวลาของการค้นพบและปฏิกิริยาของเจ้าของ

  • วันที่ค้นพบ: 15/08/19
  • เจ้าของวันที่ติดต่อ: 16/08/19

ตัวอย่างของรายการในฐานข้อมูล

การละเมิดข้อมูลทำให้ทีมของเรา เข้าถึงบัญชีผู้ใช้ 1.195 ล้านบัญชี บนหวานฉ่ำ สิ่งเหล่านี้ถูกทำลายโดยเปิดเผยรายละเอียดส่วนบุคคลของผู้ใช้ด้วย ผลกระทบที่อาจทำลายล้าง. 

รายละเอียดผู้ใช้ส่วนตัวที่เราดูรวมอยู่ด้วย:

  • ชื่อผู้ใช้
  • ที่อยู่อีเมลส่วนตัว
  • บันทึกกิจกรรมของผู้ใช้ (เข้าร่วมวันที่เข้าสู่ระบบล่าสุด)
  • ประเทศที่พำนัก / ที่ตั้ง
  • เพศ

ผู้ใช้บางคน ที่อยู่อีเมลระบุชื่อเต็มของพวกเขาเพิ่มช่องโหว่ของพวกเขา เพื่อการแสวงประโยชน์และอาชญากรรมไซเบอร์.

เป็นมูลค่าการกล่าวขวัญว่า เราประมาณว่า 20% ของอีเมลในบัญชี Luscious ใช้ที่อยู่อีเมลปลอมในการสมัคร. สิ่งนี้แสดงให้เห็นว่า ผู้ใช้ที่หวานฉ่ำบางคนกำลังทำตามขั้นตอนพิเศษอย่างแข็งขัน เพื่อยังคงไม่ระบุชื่อ. 

พฤติกรรมผู้ใช้ & กิจกรรม

การละเมิดข้อมูลยังให้ ภาพรวมที่สมบูรณ์ของกิจกรรมของผู้ใช้. สิ่งนี้ทำให้เราสามารถดูสิ่งต่าง ๆ เช่น:

  • จำนวนอัลบั้มภาพที่พวกเขาสร้าง
  • การอัปโหลดวิดีโอ 
  • ความคิดเห็น 
  • โพสต์บล็อก
  • รายการโปรด
  • ผู้ติดตามและบัญชีที่ติดตาม
  • หมายเลข ID ผู้ใช้ของพวกเขา – เพื่อให้เราสามารถทราบว่าพวกเขากำลังทำงานอยู่หรือถูกแบน

ในขณะที่บางส่วนของข้อมูลนี้จะปรากฏให้ผู้ใช้รายอื่นเห็น, ส่วนใหญ่ถูกซ่อนอยู่ในฐานข้อมูลของเว็บไซต์. ข้อมูลที่รวมกันทั้งหมดนี้ สร้างข้อมูลเชิงลึกที่มีค่าเกี่ยวกับวิธีที่ผู้คนใช้ Luscious.

ทีมของเราก็สามารถดูได้เช่นกัน รายละเอียดโพสต์บล็อกและเนื้อหาที่เผยแพร่ใน Luscious. รวมถึงรายละเอียดของผู้แต่งพร้อมกับจำนวนไลค์เมื่อเผยแพร่หมวดหมู่และอื่น ๆ.

บางส่วนของเหล่านี้ โพสต์บล็อกมีความเป็นส่วนตัวอย่างมาก – รวมถึงเนื้อหาที่ซึมเศร้าหรือมีความเสี่ยงเป็นอย่างอื่น – และไม่เปิดเผยตัว เนื่องจากการละเมิดข้อมูลนี้, โพสต์บล็อกนั้นไม่เปิดเผยตัวตนอีกต่อไปโดยเปิดเผยตัวตนของผู้เขียนหลายคน. 

ในทำนองเดียวกันสำหรับภาพที่อัพโหลดไปยัง Luscious เราได้รับการเข้าถึงดัชนีของรูปภาพพร้อมข้อมูลรายละเอียดรวมถึงผู้ที่สร้างภาพเหล่านั้น.

ผู้ใช้กว่า 1 ล้านคนที่ได้รับผลกระทบตั้งอยู่ทั่วโลกพร้อมกับสถานที่ตั้งของพวกเขาด้วย ในช่องโหว่ ในระหว่างการวิจัยของเราเราสามารถเข้าถึงโปรไฟล์ผู้ใช้จากยุโรปเอเชียออสเตรเลียและอเมริกา. 

ตัวอย่างเช่นเราพบที่อยู่อีเมลประมาณ 13,000 ที่อยู่ใน“ .fr” ซึ่งคิดเป็นประมาณ 1.25% ของฐานข้อมูล พิจารณาจำนวนคนฝรั่งเศสที่ใช้โฮสติ้งอีเมลเช่น Gmail – ลงท้ายด้วย“ .com” และตามชื่อภาษาฝรั่งเศสที่เราเห็นในที่อยู่ @ gmail.com- เราคาดว่าจำนวนผู้ใช้ภาษาฝรั่งเศสที่แท้จริงจะสูงขึ้นประมาณ 3 เท่า: ประมาณ 40,000.

ด้านล่างเป็นตารางสรุปการกระจายตัวของผู้ใช้ Luscious ทั่วโลกโดยอ้างอิงจากที่อยู่อีเมลและการประมาณจำนวนจริงของเราโดยพิจารณาบัญชี Gmail และสถิติที่คล้ายกัน.

 ประเทศ การประเมินผู้ใช้ของเราตามที่อยู่อีเมลที่พบในฐานข้อมูล
 ฝรั่งเศส   40,000
 เนเธอร์แลนด์  8,000
 สวีเดน  6,000
 ประเทศเยอรมัน  50,000
 สเปน  7,000
 รัสเซีย  35,000
 อิสราเอล  1,000
 อิตาลี  18,000
 บราซิล  10,000
 แคนาดา  15,000
 ออสเตรเลีย  5,000
 โปแลนด์  20,000
 ประเทศญี่ปุ่น  6,000
 อินเดีย  6,000

ประเด็นที่น่าเป็นห่วงคือความจริงที่ว่า ผู้ใช้หลายคนเข้าร่วม Luscious ในอีเมลรัฐบาลอย่างเป็นทางการ. เราพบตัวอย่างของสิ่งนี้จากผู้ใช้ในบราซิล, ออสเตรเลีย, อิตาลี, มาเลเซียและออสเตรเลีย. 

โดเมน การประเมินผู้ใช้ของเราตามที่อยู่อีเมลที่พบในฐานข้อมูล
.edu  น้อยกว่าหนึ่งพัน
.gov  นับสิบ

นี่เป็นการเพิ่มจำนวนมาก ช่องโหว่ไม่เพียง แต่สำหรับผู้ใช้เท่านั้น แต่ยังรวมถึงผู้ว่าจ้างด้วย. ด้วยการเข้าถึงที่อยู่อีเมลของพนักงาน, อาชญากรแฮกเกอร์สามารถกำหนดเป้าหมายหน่วยงานและหน่วยงานของรัฐได้หลายวิธี.

การละเมิดข้อมูล

ผลกระทบของการละเมิดข้อมูลนี้ที่มีต่อผู้ใช้อาจเป็นได้ ทำลายล้างส่วนตัวและการเงิน. กิจกรรมบนไซต์สำหรับผู้ใหญ่เช่น Luscious คือ ส่วนตัวที่สุดในธรรมชาติ, และไม่มีใครคาดคิดว่ามันจะถูกเปิดเผย.  

การสัมผัสมันอาจจะเป็น ทำลายความสัมพันธ์ของเหยื่อและชีวิตส่วนตัว. 

ข้อมูลที่มีอยู่ในฐานข้อมูลของ Luscious ให้แฮกเกอร์ทั้งทางอาญาและที่เป็นอันตรายมีตัวเลือกมากมายในการใช้ข้อมูลนี้เพื่อแสวงหาผลประโยชน์และใช้ประโยชน์จากผู้ใช้. 

Doxing

Doxing หมายถึงการตรวจสอบอินเทอร์เน็ต ตัวตนของผู้ใช้และทำให้เป็นสาธารณะโดยปกติจะมีเจตนาร้าย. ด้วยการเข้าถึงที่อยู่อีเมลและที่ตั้งของผู้ใช้ Luscious แฮกเกอร์สามารถทำได้อย่างง่ายดาย ค้นหาโปรไฟล์ของพวกเขาบนโซเชียลมีเดีย และไซต์ที่คล้ายกัน. 

ด้วยข้อมูลนี้, ผู้ใช้ที่มีความเสี่ยงต่อการถูกเปิดเผยต่อสาธารณะในกิจกรรมของพวกเขาบนเว็บไซต์. พวกเขาอาจเป็น มีเป้าหมายเพื่อการล่วงละเมิดกลั่นแกล้งหรือแบ่งปันรายละเอียด กับครอบครัวเพื่อนและนายจ้าง. 

ด้วยลักษณะของเนื้อหาที่มีต่อความหอมหวานผลของการรณรงค์ดังกล่าวอาจทำลายล้างได้. 

การกรรโชก

เมื่อมีการระบุตัวตนของผู้ใช้ที่ยอดเยี่ยมพวกเขาสามารถถูกกำหนดเป้าหมายได้มากกว่าการกลั่นแกล้ง. แฮกเกอร์อาจขู่ให้ผู้ใช้เปิดเผยเว้นแต่พวกเขาจ่ายเงินค่าไถ่. เนื่องจากลักษณะที่ละเอียดอ่อนของการละเมิดข้อมูลนี้ผู้ที่ตกเป็นเหยื่อมีความเสี่ยงอย่างไม่น่าเชื่อและมีแนวโน้มที่จะจ่าย. 

อย่างไรก็ตาม, การจ่ายเงินค่าไถ่ไม่รับประกันว่ารายละเอียดของคุณจะไม่ถูกเปิดเผย. เมื่อข้อมูลถูกขโมยไปแล้ว สามารถใช้และขายซ้ำแล้วซ้ำอีก. ทำให้ผู้ใช้เปิดไปที่ การกรรโชกอย่างต่อเนื่องจากแฮกเกอร์หนึ่งคน, ที่มีศักยภาพสำหรับพวกเขาหวานฉ่ำ กิจกรรมที่ยังถูกรั่วไหลโดยผู้อื่น.

ฟิชชิ่ง

ฟิชชิ่งหมายถึงการสร้าง อีเมลเลียนแบบที่ส่งถึงผู้ที่ตกเป็นเหยื่อเพื่อหลอกลวงพวกเขา ในการให้รหัสผ่านหรือข้อมูลที่เป็นอันตรายอื่น ๆ ให้การเข้าถึงบัญชีการเงินหรือบัตรเครดิตและการฝังมัลแวร์บนอุปกรณ์. 

แฮกเกอร์หรืออาชญากรไซเบอร์ในการส่งอีเมลถึงเป้าหมาย สร้างขึ้นให้มีลักษณะเหมือนธุรกิจหรือองค์กรที่ถูกกฎหมายที่เหยื่อใช้อยู่แล้ว, เพื่อดึงข้อมูลที่ต้องการหรือมัลแวร์จากโรงงาน. 

โดยเปิดเผยรายละเอียดส่วนบุคคลเช่นที่อยู่อีเมลและที่ตั้ง, การละเมิดข้อมูลที่น่ายินดีช่วยให้อาชญากรกำหนดเป้าหมายผู้ใช้สำหรับการใช้ประโยชน์ในอนาคตการฉ้อโกงหรือการโจรกรรม. พวกเขาสามารถใช้ข้อมูลนี้เพื่อ สร้างอีเมลหลอกลวงที่มีประสิทธิภาพ และส่งพวกเขาโดยตรงไปยังกล่องจดหมายของผู้ใช้ – วิธีนั้นพวกเขายังโดดเด่นจากสแปมและอีเมลขยะ.

การกระทำของคู่แข่ง

ข้อมูลนี้ละเมิดด้วย ทำให้ความอ่อนแอของความหวาน. ด้วยผู้ใช้มากกว่า 1 ล้านคนและมากกว่า 20 ล้านครั้งต่อเดือน เว็บไซต์ชั้นนำภายในซอกของมัน. ไม่ต้องสงสัยเลยว่ามีกำไรมาก. 

ด้วยข้อมูลส่วนตัวเปิดเผยในขณะนี้, คู่แข่งที่น่ารักก็สามารถวิเคราะห์พฤติกรรมของผู้ใช้ได้เช่นกัน – รายการโปรดของพวกเขาสิ่งที่พวกเขาชอบวิธีที่พวกเขาโต้ตอบกับผู้ใช้อื่น ๆ – และ กำหนดเป้าหมายด้วยทางเลือกที่ดีกว่า. โดยปกติธุรกิจออนไลน์จะเก็บข้อมูลทั้งหมดนี้ไว้อย่างปลอดภัย แสดงความเสี่ยงอย่างมากต่อรูปแบบและรายได้ของธุรกิจ.

คำแนะนำจากผู้เชี่ยวชาญ

สามารถหลีกเลี่ยงการรั่วไหลของข้อมูลนี้ได้อย่างง่ายดาย ถ้า Luscious มีบางอย่าง มาตรการรักษาความปลอดภัยขั้นพื้นฐาน. บริษัท เหล่านี้สามารถทำซ้ำได้ไม่ว่าขนาดใดก็ตาม:

  1. รักษาความปลอดภัยเซิร์ฟเวอร์ของคุณ.
  2. ใช้กฎการเข้าถึงที่เหมาะสม.
  3. อย่าออกจากระบบที่ไม่จำเป็นต้องเปิดใช้งานการตรวจสอบสิทธิ์กับอินเทอร์เน็ต.

สำหรับผู้ใช้

เราขอแนะนำให้คุณ เปลี่ยนรายละเอียดบัญชี Luscious ของคุณทันที, รวมถึงชื่อผู้ใช้และที่อยู่อีเมลที่เกี่ยวข้อง.  

สำหรับเว็บไซต์ที่มีธีมสำหรับผู้ใหญ่หรือเว็บไซต์อื่น ๆ ที่มีความละเอียดอ่อนอยู่เสมอ สร้างชื่อผู้ใช้ที่ไม่เกี่ยวข้องกับที่อยู่อีเมลส่วนตัวของคุณอย่างสมบูรณ์ หรือบัญชีออนไลน์อื่น ๆ. 

หากคุณเปิดเผยตำแหน่งของคุณใน Luscious ให้ลบรายละเอียดนี้ออกจากโปรไฟล์ของคุณ นอกจากนี้คุณยังสามารถ เปลี่ยนตำแหน่งของคุณโดยใช้ VPN.

หากต้องการเรียนรู้เพิ่มเติมเกี่ยวกับความเป็นส่วนตัวทางอินเทอร์เน็ตของคุณโดยทั่วไปและวิธีหลีกเลี่ยงการละเมิดข้อมูลเช่นนี้ในชีวิตและธุรกิจของคุณโปรดอ่านคู่มือฉบับสมบูรณ์ของเราเกี่ยวกับความเป็นส่วนตัวทางออนไลน์.

เราค้นพบช่องโหว่อย่างไรและทำไม

ทีมวิจัย vpnMentor ค้นพบการละเมิดในฐานข้อมูลของ Luscious ซึ่งเป็นส่วนหนึ่งของโครงการทำแผนที่เว็บขนาดใหญ่ แฮกเกอร์ของเราใช้การสแกนพอร์ตเพื่อตรวจสอบเฉพาะบล็อก IP และทดสอบช่องโหว่ในระบบเพื่อหาจุดอ่อน พวกเขาตรวจสอบแต่ละช่องเพื่อหาข้อมูลที่รั่วไหลออกมา. 

เมื่อพวกเขาพบการละเมิดข้อมูลพวกเขา ใช้เทคนิคผู้เชี่ยวชาญเพื่อยืนยันตัวตนของฐานข้อมูล. เรานั้น แจ้งเตือน บริษัท เพื่อการละเมิด หากเป็นไปได้เราจะแจ้งเตือนผู้ที่ได้รับผลกระทบจากการละเมิดด้วย.

ทีมของเราสามารถเข้าถึงฐานข้อมูลนี้ได้เพราะมันไม่ปลอดภัยและไม่ได้เข้ารหัสอย่างสมบูรณ์. 

บริษัท ใช้ฐานข้อมูล Elasticsearch ซึ่งโดยปกติไม่ได้ออกแบบมาสำหรับการใช้ URL อย่างไรก็ตามเราสามารถเข้าถึงได้ผ่านเบราว์เซอร์และจัดการเกณฑ์การค้นหา URL เพื่อเปิดเผย schemata จากดัชนีเดียวได้ตลอดเวลา. 

วัตถุประสงค์ของโครงการทำแผนที่เว็บนี้เพื่อ ช่วยทำให้อินเทอร์เน็ตปลอดภัยยิ่งขึ้นสำหรับผู้ใช้ทุกคน. 

ในฐานะที่เป็นแฮ็กเกอร์ที่มีจริยธรรมเราจำเป็นต้องแจ้งให้ บริษัท ทราบ เมื่อเราค้นพบข้อบกพร่องในการรักษาความปลอดภัยออนไลน์ของพวกเขา โดยเฉพาะอย่างยิ่งเมื่อการละเมิดข้อมูล บริษัท มีข้อมูลส่วนตัวเช่นนั้น.

อย่างไรก็ตามจริยธรรมเหล่านี้ก็หมายความว่าเรามีความรับผิดชอบต่อสาธารณะ. ผู้ใช้ที่มีน้ำใจต้องระวังการละเมิดข้อมูลที่ส่งผลกระทบต่อพวกเขาด้วย.

เกี่ยวกับเราและรายงานก่อนหน้า

vpnMentor เป็นเว็บไซต์ตรวจสอบ VPN ที่ใหญ่ที่สุดในโลก. ห้องปฏิบัติการวิจัยของเราเป็นบริการระดับมืออาชีพที่พยายามช่วยเหลือชุมชนออนไลน์ในการป้องกันตัวเองจากภัยคุกคามทางไซเบอร์ในขณะที่ให้ความรู้แก่องค์กรเกี่ยวกับการปกป้องข้อมูลของผู้ใช้ เราเพิ่งค้นพบการละเมิดข้อมูลขนาดใหญ่ที่ส่งผลกระทบต่อ 80 ล้านครัวเรือนในสหรัฐอเมริกา นอกจากนี้เรายังเปิดเผยว่าการละเมิดใน Biostar 2 ส่งผลต่อข้อมูลไบโอเมตริกซ์มากกว่า 1 ล้านคน คุณอาจต้องการอ่านรายงานการรั่วไหลของ VPN และรายงานสถิติความเป็นส่วนตัวของข้อมูล.