200M Adult Cam Model, Benutzerdatensätze bei Stripchat-Verletzung aufgedeckt

  • Das Leck umfasste Modellinformationen, Chat-Nachrichten und Zahlungsdetails.

    Eine Datenbank mit hochsensiblen Informationen über Nutzer und Models auf der beliebten Erotik-Cam-Site StripChat wurde im Internet entdeckt und ist völlig ungeschützt. Die Offenlegung der Daten setzt Modelle und Nutzer dem Risiko von Erpressung, Gewalt und mehr aus.

    Stripchat ist eine beliebte, 2016 gegründete Website mit Sitz in Zypern, die den Live-Zugang zu Nacktmodellen verkauft.

    Volodymyr “Bob” Diachenko, Leiter der Sicherheitsforschung Comparitech, berichtete, dass er die Datenbank am 5. November auf einem Elasticsearch-Cluster entdeckt habe. Sie enthielt etwa 200 Millionen Stripchat-Datensätze, darunter 65 Millionen Benutzerdatensätze mit E-Mail-Adressen, IP-Adressen, dem Betrag an Trinkgeldern, den sie den Models gegeben haben, einem Zeitstempel, wann das Konto erstellt wurde, und der letzten Aktivität.

    Eine weitere Datenbank enthielt etwa 421.000 Datensätze für die Modelle der Plattform, einschließlich ihrer Benutzernamen, ihres Geschlechts, ihrer Studio-IDs, ihrer Trinkgeld-Menüs und -Preise, ihres Live-Status und ihres so genannten “Strip-Score”.

    Es ist unklar, ob es jemandem mit schändlichen Absichten gelungen ist, auf die Datenbank zuzugreifen, bevor sie am 7. November gesichert wurde.

    Bedrohung durch Stripchat Data Exposure

    “Die Enthüllung könnte ein erhebliches Risiko für die Privatsphäre sowohl der Stripchat-Zuschauer als auch der Models darstellen”, sagte Diachenko. “Wenn die Daten gestohlen wurden, könnten sie Belästigung, Demütigung, Stalking, Erpressung, Phishing und anderen Bedrohungen ausgesetzt sein, sowohl online als auch offline.”

    Melden Sie sich jetzt für unsere LIVE-Veranstaltung an!

    Stripchat-Nutzer- und Modellinformationen könnten auch für gezielte Phishing-Kampagnen verwendet werden.

    “Opfer sollten sich vor gezielten Phishing-E-Mails von Betrügern in Acht nehmen, die sich als Stripchat oder ein verwandtes Unternehmen ausgeben”, warnte Diachenko. “Klicken Sie niemals auf Links oder Anhänge in unaufgeforderten E-Mails.”

    Das Risiko für die Privatsphäre sowohl der Nutzer als auch der Modelle wird noch größer, wenn die aufgedeckten Informationen mit anderen Verstößen abgeglichen werden, so dass ein vollständiges Profil einer Person erstellt wird.

    “Ich habe den Eindruck, dass viele Nutzer, die solche Seiten besuchen, es vorziehen, ihre wahre Identität, E-Mails usw. nicht anzugeben”, so Diachenko gegenüber Threatpost. “Sie nutzen meist auch VPN-Dienste, um ihre IP-Adressen zu verbergen. Dennoch können viele dieser Informationen mit anderen Datenverletzungen abgeglichen werden, und es würden einige zusätzliche Daten auftauchen, das ist mein Punkt.

    Die Enthüllung wurde Stripchat am 5. November gemeldet, mit mehreren Kontaktpunkten per E-Mail und Twitter in der Folge. Während das Unternehmen nicht direkt auf Diachenkos Enthüllung reagierte, sagte er, dass die Daten seit dem 7. November gesichert seien.

    “Websites wie Stripchat sollten strengere Sicherheitspraktiken anwenden und zumindest Protokolle zur Reaktion auf Vorfälle erstellen, wenn sie solche Warnungen von der Sicherheitsgemeinschaft erhalten”, sagte er gegenüber Threatpost.

    Vorsicht vor unanständigen Phishing-Ködern

    Unzüchtige Phishing-Köder werden zunehmend in BEC-Kampagnen (Business Email Compromise) eingesetzt, wie eine von GreatHorn im letzten Sommer veröffentlichte Studie zeigt. Das Unternehmen stellte einen atemberaubenden Anstieg von 974 Prozent bei Social-Engineering-Betrügereien fest, bei denen anzügliches Material verwendet wird, das sich meist an Mitarbeiter mit männlich klingenden Namen richtet.

    “Es handelt sich nicht immer um explizites Material, aber das Ziel ist es, den Benutzer aus dem Gleichgewicht zu bringen, ihn zu verängstigen – irgendeinen erregten emotionalen Zustand – um die Fähigkeit des Gehirns, rationale Entscheidungen zu treffen, zu verringern”, heißt es in dem Bericht.

    Bei der Arbeit mit vergangenen Stripchat-Aktivitäten konfrontiert zu werden, würde das rationale Denken sicherlich erschweren.

    Die Pandemie war ein Segen für Cybersex-Seiten wie Stripchat: Das Unternehmen gab an, dass die Plattform nach dem Ausbruch der Pandemie und den Sperrungen einen 72-prozentigen Anstieg des Datenverkehrs verzeichnete und im Jahr 2020 906.181.416 neue Nutzer hinzukamen.

    Doch je mehr Nutzer diese Plattformen gewinnen, desto mehr werden sie zum Ziel von Angriffen.

    Undichte Wolken bleiben bestehen

    Stripchat reiht sich in eine lange und illustre Liste von Unternehmen mit undichten Clouds ein. VIP Games gab Anfang 2021 die Nutzerdaten von 66.000 Nutzern preis. Dating-Websites und sogar Hobby Lobby sind allesamt Opfer einer falsch konfigurierten Cloud geworden. Und das gilt nicht nur für den privaten Sektor. Letzten Sommer fand Diachenko einen ungeschützten Elasticsearch-Cluster mit 1,9 Millionen Datensätzen der Terroristenbeobachtungsliste.

    In Bezug auf öffentliche Cloud-Speicher forderte Diachekno die Unternehmen auf, viel mehr für den Schutz ihrer Daten zu tun.

    “Die Offenlegung von Datensätzen durch Fehlkonfigurationen ist ein großes Problem, egal ob es sich um Fehlkonfigurationen bei öffentlichen Clouds oder bei jedem anderen Dienst handelt, der dem Internet ausgesetzt ist”, sagte er in einer E-Mail an Threatpost. “Organisationen müssen alle Ressourcen, die in ihrem Unternehmen eingesetzt werden, kontinuierlich überwachen, um das Risiko einer solchen Offenlegung zu minimieren. Solche Datensätze können im Dark Web verkauft oder für weitere Angriffe verwendet werden, insbesondere wenn Anmeldedaten betroffen sind.”

    Möchten Sie die Kontrolle über die fadenscheinigen Passwörter zurückgewinnen, die zwischen Ihrem Netzwerk und dem nächsten Cyberangriff stehen? Darren James, Leiter der internen IT-Abteilung bei Specops, und Roger Grimes, Evangelist für datengesteuerte Verteidigung bei KnowBe4, zeigen Ihnen in der kostenlosen LIVE-Veranstaltung “Password Reset”, wie das geht: Kontrolle über Anmeldeinformationen erlangen, um Angriffe zu stoppen”, am Mittwoch, den 17. November um 14 Uhr ET. Gesponsert von Specops.

    Registrieren Sie sich JETZT für die LIVE-Veranstaltung!

    [Blocked Image: https://media.threatpost.com/wp-content/uploads/sites/103/2021/02/18084733/camera_video_lens.jpg]

    Einige Teile dieses Artikels stammen aus:
    threatpost.com