Liderada por Noam Rotem e Ran Locar, a equipe de pesquisa do vpnMentor descobriu uma violação de dados no site adulto Luscious.
Luscious é um site de imagens pornográficas de nicho focado principalmente em conteúdo animado enviado por usuários. Com base na pesquisa realizada por nossa equipe, o site possui mais de 1 milhão de usuários registrados. Cada usuário tem um perfil, cujos detalhes podem ser acessados por meio de nossa pesquisa.
Os perfis privados permitem que os usuários enviem, compartilhem, comentem e discutam conteúdo no Luscious. Tudo isso é feito de maneira compreensível, mantendo a identidade oculta por trás dos nomes de usuário.
A violação de dados descoberta por nossa equipe compromete esse anonimato ao permitir que hackers acessem os detalhes pessoais dos usuários, incluindo seu endereço de e-mail pessoal. A natureza altamente sensível e privada do conteúdo da Luscious ‘torna os usuários incrivelmente vulneráveis a uma variedade de ataques e exploração por hackers mal-intencionados.
Linha do tempo da descoberta e reação do proprietário
- Data da descoberta: 15/08/19
- Data de contato do proprietário: 16/08/19
Exemplo de entradas no banco de dados
A violação de dados deu à nossa equipe acesso a 1,195 milhão de contas de usuário no Luscious. Tudo isso foi comprometido, revelando detalhes pessoais de usuários com consequências potencialmente devastadoras.
Os detalhes pessoais particulares do usuário que vimos incluem:
- Nomes de usuário
- Endereços de email pessoais
- Logs de atividade do usuário (data de ingresso, logon mais recente)
- País de residência / localização
- Gênero
- Os endereços de e-mail de alguns usuários indicaram seus nomes completos, aumentando sua vulnerabilidade à exploração e ao cibercrime.
Vale ressaltar que estimamos que 20% dos e-mails em contas Luscious usam endereços de e-mail falsos para se inscrever. Isso sugere que alguns usuários gostosos estão ativamente tomando medidas extras para permanecer anônimos.
Comportamentos e atividades do usuário
A violação de dados também deu uma visão geral completa das atividades do usuário. Isso nos permitiu ver coisas como:
- O número de álbuns de imagens que eles criaram
- Uploads de vídeo
- Comentários
- Postagens no blog
- Favoritos
- Seguidores e contas seguidos
- O número de identificação de usuário deles – para que possamos saber se eles estão ativos ou foram banidos
Embora algumas dessas informações sejam visíveis para outros usuários, muitas delas foram ocultadas no banco de dados do site. Todas essas informações combinadas criam informações valiosas sobre como as pessoas usam o Luscious.
Nossa equipe também pôde visualizar os detalhes das postagens e do conteúdo publicado no Luscious. Isso incluiu os detalhes do autor, juntamente com o número de curtidas, quando publicadas, categoria etc.
Algumas dessas postagens no blog eram extremamente pessoais – incluindo conteúdo depressivo ou vulnerável – e mantidas em anonimato. Devido a essa violação de dados, no entanto, as postagens do blog não são mais anônimas, com muitas das identidades dos autores reveladas.
Da mesma forma, para imagens carregadas no Luscious, obtivemos acesso a um índice de fotos com informações detalhadas, incluindo quem as criou.
Os mais de 1 milhão de usuários afetados estão localizados em todo o mundo, com seus locais também revelados na violação. Durante nossa pesquisa, conseguimos acessar perfis de usuários da Europa, Ásia, Austrália e Américas.
Por exemplo, encontramos aproximadamente 13.000 endereços de email em “.fr”, representando cerca de 1,25% do banco de dados. Considerando o número de franceses que usam hospedagem de e-mail como o Gmail – terminando em “.com” e com base nos nomes franceses que vimos nos endereços @ gmail.com – estimamos que o número real de usuários franceses seja cerca de três vezes maior: aproximadamente 40.000.
Abaixo está uma tabela que descreve a distribuição internacional de usuários gostosos, com base em endereços de e-mail e nossas estimativas de números reais, considerando as contas do Gmail e as estatísticas da Similarweb.
País | Nossa estimativa de usuários com base nos endereços de email encontrados no banco de dados |
France | 40,000 |
Netherlands | 8,000 |
Sweden | 6,000 |
Germany | 50,000 |
Spain | 7,000 |
Russia | 35,000 |
Israel | 1,000 |
Italy | 18,000 |
Brazil | 10,000 |
Canada | 15,000 |
Australia | 5,000 |
Poland | 20,000 |
Japan | 6,000 |
India | 6,000 |
Uma questão maior de preocupação é o fato de muitos usuários se juntarem ao Luscious em emails oficiais do governo. Encontramos exemplos disso em usuários do Brasil, Austrália, Itália, Malásia e Austrália.
Domínio | Nossa estimativa de usuários com base nos endereços de email encontrados no banco de dados |
.edu | Less than a thousand |
.gov | Dozens |
Isso adiciona uma grande vulnerabilidade adicional não apenas aos usuários, mas também a seus empregadores. Com acesso aos endereços de e-mail dos funcionários, hackers criminosos podem atingir agências e departamentos governamentais de várias maneiras.
Impacto na violação de dados
O impacto dessa violação de dados nos usuários pode ser devastador, pessoal e financeiramente. A atividade em sites adultos como Luscious é a mais privada por natureza, e ninguém espera que ela seja revelada.
Sua exposição pode ser ruinosa para os relacionamentos e as vidas pessoais de uma vítima.
As informações disponibilizadas nos bancos de dados da Luscious oferecem a hackers criminosos e maliciosos muitas opções para usar esses dados para obter ganhos ilícitos e explorar usuários.
Doxing
Doxing refere-se ao ato de investigar a identidade de um usuário da Internet e torná-la pública, geralmente com intenção maliciosa. Com acesso aos endereços de e-mail e locais dos usuários gostosos, os hackers podem localizar facilmente seus perfis nas mídias sociais e sites semelhantes.
Com essas informações, um usuário Luscious corre o risco de ser exposto publicamente por suas atividades no site. Eles podem ser alvo de assédio, intimidação ou compartilhar os detalhes com sua família, amigos e empregadores.
Dada a natureza do conteúdo do Luscious, os efeitos dessa campanha podem ser devastadores.
Extorsão
Depois que a identidade de um usuário gostoso é comprometida, ele pode ser segmentado por mais do que apenas bullying. Os hackers podem ameaçar expor os usuários, a menos que paguem um resgate. Dada a natureza sensível dessa violação de dados, as vítimas são incrivelmente vulneráveis e provavelmente pagam.
No entanto, pagar um resgate não garante que seus detalhes não sejam revelados. Depois que esses dados são roubados, eles podem ser usados e vendidos repetidamente. Isso deixa os usuários abertos à extorsão contínua de um hacker, com o potencial de que suas atividades gostosas ainda vazem por outro.
Phishing
Phishing refere-se à criação de emails de imitação enviados às vítimas para induzi-las a fornecer senhas ou outras informações comprometedoras, dar acesso a contas financeiras ou cartões de crédito e incorporar malware em um dispositivo.
Um hacker ou cibercriminoso envia a um alvo um e-mail criado para parecer uma empresa ou organização legítima que a vítima já usa, para extrair as informações desejadas ou instalar malware.
Ao revelar detalhes pessoais, como endereços de e-mail e localização, a Violação de dados deliciosa ajuda os criminosos a direcionar os usuários para exploração futura, fraude ou roubo. Eles podem usar essas informações para criar e-mails fraudulentos efetivos e enviá-los diretamente para a caixa de entrada de e-mail de um usuário. Dessa forma, eles também se destacam por spam e lixo eletrônico.
Ações do Concorrente
Essa violação de dados também torna o Luscious vulnerável. Com mais de 1 milhão de usuários e mais de 20 milhões de visitas por mês, é um site líder em seu nicho. Também é sem dúvida muito lucrativo.
Com as informações privadas agora reveladas, os concorrentes da Luscious também podem analisar o comportamento do usuário – seus favoritos, do que gostam, como interagem com outros usuários – e direcioná-los para melhores alternativas. Geralmente, as empresas on-line mantêm todas essas informações ocultas com segurança, pois apresentam um enorme risco para seu modelo de negócios e receita.
Conselho dos especialistas
Esse vazamento de dados poderia ter sido facilmente evitado se Luscious tivesse tomado algumas medidas básicas de segurança. Eles podem ser replicados por qualquer empresa, independentemente do tamanho:
- Proteja seus servidores.
- Implemente regras de acesso adequadas.
- Nunca deixe um sistema que não exija autenticação aberto na Internet.
Para usuários
Sugerimos que você altere imediatamente os detalhes da sua conta Luscious, incluindo seu nome de usuário e endereço de e-mail associado.
Para sites com temas para adultos ou quaisquer outros sites de natureza sensível, sempre crie um nome de usuário completamente não relacionado ao seu endereço de e-mail pessoal ou a qualquer outra conta online.
Se você revelou sua localização no Luscious, remova esses detalhes do seu perfil. Você também pode alterar sua localização usando uma VPN.
Para saber mais sobre sua privacidade na Internet em geral, e como evitar violações de dados como esta em sua vida e negócios, leia nosso guia completo sobre privacidade online.
Como e por que descobrimos a brecha
A equipe de pesquisa do vpnMentor descobriu a violação nos bancos de dados da Luscious como parte de um grande projeto de mapeamento da web. Nossos hackers usam a varredura de portas para examinar blocos IP específicos e testar buracos abertos nos sistemas em busca de pontos fracos. Eles examinam cada furo em busca de dados vazando.
Quando encontram uma violação de dados, usam técnicas especializadas para verificar a identidade do banco de dados. Em seguida, alertamos a empresa sobre a violação. Se possível, também alertaremos os afetados pela violação.
Nossa equipe conseguiu acessar esse banco de dados porque era completamente desprotegido e sem criptografia.
A empresa usa um banco de dados Elasticsearch, que normalmente não é projetado para uso de URL. No entanto, conseguimos acessá-lo via navegador e manipular os critérios de pesquisa de URL para expor esquemas de um único índice a qualquer momento.
O objetivo deste projeto de mapeamento da web é ajudar a tornar a Internet mais segura para todos os usuários.
Como hackers éticos, somos obrigados a informar uma empresa quando descobrirmos falhas em sua segurança online. Isso é especialmente verdade quando a violação de dados da empresa contém essas informações privadas.
No entanto, essa ética também significa que carregamos uma responsabilidade para o público. Usuários gostosos devem estar cientes de uma violação de dados que os afeta também.
FONTE: https://www.vpnmentor.com/blog/report-luscious-data-breach/