Dane użytkowników seks kamerek Stripchat były dostępne publicznie

Strona z seks-kamerami Stripchat umożliwiała dostęp do danych użytkowników oraz modelek i modeli korzystających z serwisu. Zespół badawczy Comparitech, kierowany przez Boba Diachenko, odkrył bazę danych, którą każdy mógł pobrać, a zawierała adresy e-mail, nazwy użytkowników oraz adresy IP i inne informacje.

Comparitech odkrył udostępnioną publicznie bazę danych i powiadomił Stripchat 5 listopada. Dopiero dwa dni później dostęp został zablokowany. Przez ten czas serwis nie reagował na próby kontaktu przez e-mail i Twittera!

Chronologicznie wyglądało to tak:

• 4 listopada 2021 – bazę danych zaindeksowały wyszukiwarki.
• 5 listopada 2021 – Diachenko odkrył bazę danych, ustalił jej właściciela i wysłał powiadomienie do Stripchat.
• 7 listopada 2021 – dostęp został zablokowany.

Nie wiemy, jak długo baza danych była dostępna, zanim zaindeksowały ją wyszukiwarki. Eksperymenty Comparitech pokazują, że atakujący znajdują i uzyskują dostęp do takich informacji w ciągu kilku godzin! Niestety istnieje duże prawdopodobieństwo, że ktoś niepowołany pobrał dane, ale co z nimi zrobi, można tylko spekulować.

Ujawnienie tych informacji może stanowić istotne zagrożenie prywatności zarówno dla użytkowników serwisu Stripchat, jak i modelek oraz modeli. Jeśli dane zostały skradzione, mogą oni paść ofiarą prześladowania, szantażu, prób wymuszenia, phishingu oraz innych, nawet fizycznych, działań przestępców.

Jakie informacje z serwisu Stripchat zostały ujawnione?

Klaster zawierał w sumie około 200 milionów rekordów, składających się z kilku baz danych:

Baza danych użytkowników zawierająca około 65 milionów rekordów, z których każdy zawierał niektóre lub wszystkie z poniższych informacji:

• Adres e-mail
• Nazwa użytkownika
• Adres IP
• Dostawca usług internetowych
• Saldo napiwków
• Data utworzenia konta
• Znacznik czasowy ostatniej aktywności
• Status

Baza danych zawierająca około 421 tys. rekordów modeli i modelek, z których każdy zawiera niektóre lub wszystkie poniższe informacje:

Nazwa użytkownika

• Płeć
• ID studia
• Status na żywo
• Menu napiwków i ceny
• Wynik Stripu
• Transakcje stripchat

Baza danych transakcji zawierająca około 134 miliony rekordów z informacjami o tokenach i napiwkach wypłacanych przez użytkowników modelkom i modelom, w tym prywatnych.

Baza danych moderacji zawierająca około 719,000 wiadomości z czatu, w tym zarówno wiadomości prywatne jak i publiczne. Każdy rekord zawiera ID użytkownika (widza), który wysłał wiadomość.

Ujawnienie danych może stanowić cyfrowe i fizyczne zagrożenie zarówno dla widzów Stripchat, jak i modelek oraz modeli. Szczególnie niepokojące są adresy IP, które mogą być wykorzystane do przybliżonego określenia czyjejś lokalizacji. Mogą one umożliwić odnalezienie i prześladowanie, nękanie, a nawet napaść na osobę, której dane były w bazie.

Użytkownicy serwisu powinni też uważać na wiadomości phishingowe od oszustów podających się za Stripchat lub powiązaną firmę. Nigdy nie należy klikać na linki lub załączniki w niechcianych wiadomościach e-mail!

Serwis potwierdził zdarzenie na swoim blogu i jednocześnie poinformował, że nikt w czasie incydentu nie uzyskał dostępu do haseł, szczegółów płatności i dokumentów weryfikacyjnych konta.

Źródło: Comparitech