秒送号(miaosong.cn)自媒体平台11月4日文章,在运行网站的公司未保护后端数据库后,许多受欢迎的“ camgirl”网站暴露了数百万个性工作者和用户。该网站由巴塞罗那的VTS媒体运行,包括amateur,webcampornoxxx,和placercams。该网站的大多数用户都位于西班牙和欧洲,但我们发现了全世界用户的证据,包括美国。
根据Alexa的流量排名,amateur是西班牙最受欢迎的城市之一。
该数据库包含数月之久的站点活动每日日志,数周之内没有密码。这些日志包括用户登录时间的详细记录,包括用户名,有时还包括其用户代理和IP地址,可用于识别用户。日志还包括用户与其他用户的私人聊天消息,以及他们从各个站点收到的促销电子邮件。日志甚至包括失败的登录尝试,均以纯文本形式存储用户名和密码。我们没有测试凭据,因为这样做是非法的。
暴露的数据还揭示了用户正在观看和租借哪些视频,从而暴露了纠结和私人性偏爱。
总体而言,日志足够详细,可以查看哪些用户正在登录,从何处登录以及他们的电子邮件地址或其他可识别信息(通常在某些情况下我们可以与现实世界的身份进行匹配)。
不仅用户受到影响,向观看者广播色情内容的“ camgirls”还暴露了一些帐户信息。
该数据库上周关闭了,使我们可以发布我们的发现。
“ camgirl”网站由于未能使用密码保护后端数据库而暴露了数百万个用户和性工作者的帐户数据。图片:TechCrunch)
网络安全和互联网自由公司Condition:Black的研究人员发现了暴露的数据库。
“从技术和合规性的角度来看,这是一个严重的失败,” Condition:Black的创始人约翰·威辛顿说。“查看网站的数据隐私政策以及条款和条件后,很明显,用户可能不知道自己的活动受到了如此详细的监视。”
他说:“用户应始终考虑其数据泄漏的影响,尤其是在那些影响可能改变生活的地方。”
近年来,数据泄露(公司无意间使任何人都可以打开自己的系统)变得越来越普遍。约会网站是其中一些最敏感数据的网站。今年早些时候,一个团体约会网站3Fun 暴露了超过一百万个用户的数据,允许研究人员未经许可即可查看用户的实时位置。这些安全漏洞可能会对他们的用户造成极大破坏,暴露出仅用户自己知道的私人性遭遇和偏爱。以下余波2016年黑客攻击的事情为主的网站的阿什利麦迪逊导致家庭破碎和自杀的一些报告连接到突破口。
周末,发送给VTS Media的电子邮件被退回,无法置评。
鉴于公司及其服务器均位于欧洲,性倾向暴露将属于GDPR规则的“特殊类别”,该类别需要更多的保护。对于违反GDPR的公司,最高可处以其年营业额4%的罚款。
西班牙数据保护局(AEPD)的发言人未在工作时间以外回应置评请求。
