Спецпроекты

Безопасность Бизнес Техника

Скандально известный сайт для взрослых рассекретил десятки миллионов своих почитателей

Порядка 200 млн записей о пользователях и моделях сайта для взрослых StripChat оказались в общем доступе из-за неверных настроек базы данных ElasticSearch. Сейчас база данных закрыта, но сколько людей могли пострадать от этого инцидента, остается лишь догадываться.

Все тайное становится...

Данные пользователей и моделей популярного сайта для взрослых StripChat оказалась в общем доступе из-за неправильной настройки базы данных ElasticSearch. Поисковые системы индексировали эту базу не позднее 4 ноября 2021 г.

Как выяснил знаменитый эксперт по уязвимостям Боб Дьяченко (Bob Diachenko), общедоступная база данных содержала около 200 млн записей.

Из них 65 млн относилось к посетителям, и эти данные включали почтовые адреса, IP-адреса, информацию о провайдерах, платежный баланс и некоторые другие данные.

Около 421 тыс. записей относились к моделям, и включали, помимо указания пользовательского имени и пола, некоторые платежные данные. 719 тыс. записей содержали сообщения в чатах, публичных и приватных с идентификационной информацией об отправителях.

vau600.jpg
Сайт для взрослых протек данными пользователей и моделей

Еще 134 млн записей — это информация о токенах и платежных переводах моделям.

Риск для приватности и физической безопасности

По мнению Дьяченко, утечка создала огромный риск для приватности и рядовых пользователей, и моделей, зарабатывающих с помощью этого сайта деньги. И те, и другие теперь рискуют подвергнуться разным формам шантажа и фишинговых атак.

Не исключает эксперт и физического риска для пользователей StripChat: IP-адреса позволяют определить примерное географическое местоположение пользователя. «Это позволит агрессорам попытаться найти и начать преследовать, домогаться или даже нападать на тех, чья информация содержится в базе данных. Помимо физического насилия, идентифицирующая информация может использоваться для вымогательства, травли или унижения жертв, полагавших, что их действия в онлайне являются приватными», — написал Дьяченко.

Эксперт отметил, что многократно пытался связаться с владельцами StripChat, но пока безуспешно. Впрочем, доступ к базе был перекрыт спустя несколько дней. На самом сайте никакой информации о произошедшем нет.

ElasticSearch как улика

Утечки из баз данных ElasticSearch регулярно попадают в новостные заголовки. В сентябре 2021 г. в свободном доступе в интернете была обнаружена база ElasticSearch с персональными данными почти 2 млн абонентов проводного интернета «Билайна».

В начале 2020 г. миллионы домашних камер оказались беззащитны для взлома из-за того, что их производитель, компания Wyze неправильно настроила защиту базы ElasticSearch.

В 2019 г. разработчик решений для «умного дома» Orvibo оставил в открытом доступе базу, содержавшую около двух миллиардов логов. Возможно, это была крупнейшая подобная утечка последних лет. Причиной проблем обычно является человеческая ошибка: ElasticSearch предоставляет необходимые инструменты для защиты приватности данных, но ими не все пользуются или делают это неправильно.

«Это не первая и наверняка не последняя утечка, связанная с ошибочной настройкой ElasticSearch, — говорит Михаил Зайцев, эксперт по информационной безопасности компании SEQ. — Однако в данном случае потенциальные злоумышленники действительно получают массу возможностей для шантажа и других способов давления на лиц, чьи данные оказались в этой базе. Единственной хорошей новостью является то, что едва ли многие успели получить к этой базе реальный доступ.

Роман Георгиев

Короткая ссылка