银行跑路数据不能随便泄露，成人网站的浏览信息更是敏感。 由大数据文摘制作 银行跑路数据不能随便泄露，成人网站的浏览信息更是敏感。 最近从Zoom到三星手机，从数据公司到娱乐明星，互联网公司的信息泄露事件频频发生，消化菌感觉有点不知所措。 没有一个绝对安全的系统，科技公司的大量数据在互联网上存储和暴露是必然的。但是，如果这家公司运营的是成人直播服务，其数据包需要谨慎对待。 近日，一家名为CAM4的成人视频网站遭遇数据泄露，数据内容极其详细丰富，包括姓名、性取向、支付记录、电子邮件、聊天记录等7tb。https://www.zhucesz.com/共有——项记录被曝光。 CAM4是一个流行的成人直播平台，主要面向欧美观众。很多业余爱好者会通过直播摄像头在平台上直播成人内容。根据安全评论网站Safety Detectives的报告，发现CAM4配置了错误的ElasticSearch生产数据库，因此很容易发现和查看大量的用户身份信息以及欺诈和垃圾邮件检测日志。 它包含1100万封电子邮件记录，超过5万名受害者是中国用户。 “CAM4的生产服务器暴露在公众面前，没有任何密码，这对用户和公司都是非常危险的。“侦探研究员阿努拉格森说，他的团队发现了数据泄露。 泄露的数据包含约1100万封电子邮件记录，其中包括电子邮件信息，一些条目包含与多个国家/地区的用户相关的多个电子邮件地址。虽然没有列出所有受影响的国家，但根据SafetyDetectives团队的说法，可以获得暴露的电子邮件记录的国家视图。 从下图可以看出，此次泄露事件危害了美国约660万CAM4用户，巴西540万用户，意大利490万用户，法国420万用户，中国超过53万用户。不出所料，由于阿联酋、沙特、伊朗等国家/地区禁止在中国发布成人内容，这些国家/地区的词条均为0。 此外，安全团队发现了26，392，701个带有哈希密码的条目，其中一些属于https://www.zhucesz.com/用户，一些来自网站系统资源。 泄露的数据详细，没有黑客攻击的直接证据。 需要强调的是，没有证据表明CAM4被黑客攻击过，也没有证据表明数据库被恶意行为者访问过，但这并不意味着数据没有被黑客窃取。 CAM4并不是唯一一家犯了相关错误的公司。ElasticSearch服务器的问题是众多备受关注的数据泄露的原因。通常这种服务器只供内部使用，但一旦配置错误使其上线且没有密码保护，就会存在巨大的安全风险。 安全顾问鲍勃迪亚琴科(Bob Diachenko)表示，“我看到大量暴露的ElasticSearch实例，这其实是非常常见的。但令人惊讶的是这次公布的数据的细节。” 这次泄露的数据有多详细？ 据报道，CAM4泄露的数据清单非常全面，发现的安全侦探的生产记录可以追溯到今年3月16日。除了上述类别的信息，它们还包括原产国、注册日期、设备信息、语言偏好、用户名、散列密码以及用户和公司之间的电子邮件通信。 用户密码和其他信息 研究人员发现，在https://www.zhucesz.com/,的1亿条记录中，1100万条记录包含电子邮件地址，另外26，392，701条记录包含CAM4用户和网站系统的密码哈希。 “有问题的服务器是来自许多不同来源的日志聚合服务器，但该服务器被认为是非机密的，”Krieg说。“这93条记录进入了日志。这是因为一个开发人员在调试一个问题的时候出错了，但是在日志文件出错的时候不小心记录了这些。” 但目前还不能确定这次数据泄露会对主播和观看用户造成多大程度的影响。同样，没有迹象表明不良参与者会使用所有这些字节的数据。 森说，CAM4的母公司Granity Entertainment在研究人员接触到有问题的服务器后半小时内迅速将其下线。虽然这不足以弥补泄漏，但至少可以看出该公司的反应是迅速的。 另外，虽然网站和涉及的数据都比较敏感，但是实际上很难把这些信息和用户的真实姓名联系起来。迪亚琴科说，“黑客真的必须深入研究日志，才能找到任何可以将用户与真人联系起来的证据，或者任何可以暴露他们真实身份的证据。” “当然，这不应该在网上公开，但我会说，这不是我见过的最恐怖的事情。” CAM4表示，没有第三方可以访问这些数据，但潜在的威胁不容忽视。 CAM4在一份声明中说：“毫无疑问，任何个人身份信息，包括姓名、地址、电子邮件、IP地址或财务数据，都没有被除了安全侦探和CAM4调查人员之外的任何人访问过。” 该公司还表示，实际能够确认身份的用户数量远少于惊人的曝光记录数量。管理CAM4数据库的Smart-X技术总监凯文Krieg(Kevin Schmidt)表示，支付和付款信息可能已经暴露了93人(主播和观看用户混在一起)。安全侦探可能会把这个数字设置为“几百”。 然而，想象一下，如果有人做了这种挖掘，那么他们可能已经获得了相当多的信息，包括性取向，来勒索那些人。更普遍的是，CAM4用户将面临凭据填充攻击的风险，即使他们重复使用他们的密码，从而在不使用强唯一凭据的情况下暴露任何帐户。 或者另一方面，森说，如果你有这些CAM4用户的邮箱地址，你完全有能力从以前的数据泄露中找到相关的密码，然后登录这些人的账户。 同时，泄露的数据也可能使CAM4面临风险，特权欺诈和垃圾邮件检测信息将为潜在攻击者提供如何绕过这些防御的路线图。 Krieg表示，CAM4已经采取措施防止类似数据泄露事件再次发生。他说：“这是一个服务器，所以一开始不应该有外部IP。”“我们将把它移到内部局域网中，使人们更难访问，同时确保它上面没有任何不应该敏感的内容，包括个人身份信息。” 数据泄露经常发生。虽然数据泄露不过是违反互联网法规，但当这种敏感信息被泄露时，公司有责任采取一切预防措施来保护它，而不是最低要求。