研究人員在網(wǎng)上發(fā)現(xiàn)了一個(gè)包含大量用戶(hù)和模特敏感信息的數(shù)據(jù)庫(kù)，沒(méi)有做任何保護(hù)。此次數(shù)據(jù)的泄露使得模特和用戶(hù)面臨著被敲詐和被恐嚇等風(fēng)險(xiǎn)。

　　Stripchat是一個(gè)目前很流行的網(wǎng)站，成立于2016年，總部設(shè)在塞浦路斯，主要是做人體模特相關(guān)的業(yè)務(wù)。

　　安全機(jī)構(gòu)的研究人員報(bào)告說(shuō)，他在11月5日在一個(gè)Elasticsearch集群上發(fā)現(xiàn)了這個(gè)數(shù)據(jù)庫(kù)。該數(shù)據(jù)庫(kù)包含了約2億條Stripchat記錄，其中包括6500萬(wàn)條用戶(hù)記錄，包含了電子郵件地址、IP地址、他們給模特的小費(fèi)金額、賬戶(hù)創(chuàng)建時(shí)間和最后一次活動(dòng)的時(shí)間戳等信息。

　　另一個(gè)數(shù)據(jù)庫(kù)包含了大約42.1萬(wàn)條該平臺(tái)模特的記錄，包括他們的用戶(hù)名、性別、工作室ID、小費(fèi)菜單、直播狀態(tài)。

　　目前還不清楚，在11月7日數(shù)據(jù)庫(kù)被保護(hù)起來(lái)之前，是否已經(jīng)有攻擊者進(jìn)入到了數(shù)據(jù)庫(kù)。

　　數(shù)據(jù)被暴露所帶來(lái)的威脅

　　這些數(shù)據(jù)的曝光可能會(huì)對(duì)Stripchat的用戶(hù)和模特造成重大的隱私風(fēng)險(xiǎn)，如果數(shù)據(jù)被盜，他們可能會(huì)面臨著被騷擾、羞辱、跟蹤、勒索、網(wǎng)絡(luò)釣魚(yú)和其他威脅。

　　該網(wǎng)站的用戶(hù)和模特信息也很可能被用于有針對(duì)性的網(wǎng)絡(luò)釣魚(yú)攻擊活動(dòng)。

　　安全研究人員警告說(shuō)，受害者應(yīng)該警惕那些來(lái)自于冒充Stripchat或相關(guān)公司的有針對(duì)性的網(wǎng)絡(luò)釣魚(yú)郵件。千萬(wàn)不要點(diǎn)擊未經(jīng)驗(yàn)證的電子郵件中的鏈接或附件。

　　如果暴露的信息再結(jié)合用戶(hù)的其他行為，那么用戶(hù)和模特的隱私風(fēng)險(xiǎn)就會(huì)變得更加嚴(yán)重，此時(shí)，一個(gè)人完整的輪廓就會(huì)被描繪出來(lái)。實(shí)際上，Stripchat數(shù)據(jù)庫(kù)中的數(shù)據(jù)，并沒(méi)有泄露太多個(gè)人的真實(shí)信息，我感覺(jué)很多訪問(wèn)此類(lèi)網(wǎng)站的用戶(hù)不會(huì)使用他們的真實(shí)身份、電子郵件等，他們也大多會(huì)使用VPN服務(wù)，隱藏他們的IP地址。盡管如此，這些信息很多都可以與其他被泄露的信息進(jìn)行結(jié)合匹配，我們還可以發(fā)現(xiàn)很多其他的信息。

　　11月5日，Stripchat收到了數(shù)據(jù)被曝光的通知，通過(guò)電子郵件和Twitter的多個(gè)聯(lián)絡(luò)點(diǎn)和安全人員進(jìn)行了及時(shí)的溝通。雖然該公司沒(méi)有直接回應(yīng)安全公司的披露，但他說(shuō)，截至11月7日，數(shù)據(jù)是安全的。

　　像Stripchat這樣的網(wǎng)站應(yīng)該有更強(qiáng)的安全防范措施，在收到安全社區(qū)發(fā)出的這樣的警報(bào)時(shí)，至少要及時(shí)采取安全應(yīng)急響應(yīng)措施。

　　小心淫穢釣魚(yú)網(wǎng)站攻擊

　　根據(jù)GreatHorn去年夏天發(fā)表的研究報(bào)告，淫穢網(wǎng)絡(luò)釣魚(yú)誘餌正越來(lái)越多地被用于商業(yè)電子郵件入侵（BEC）攻擊活動(dòng)中。該公司發(fā)現(xiàn)，使用淫穢材料進(jìn)行的社交工程攻擊驚人地上升了974%，這些材料大多會(huì)針對(duì)那些名字聽(tīng)起來(lái)像是男性的員工進(jìn)行攻擊。

　　根據(jù)該報(bào)告，它并不會(huì)使用具體的材料進(jìn)行欺騙，其目的是使用戶(hù)失去心理平衡，受到驚嚇。任何興奮的情緒，都會(huì)降低大腦做出理性決定的能力。

　　當(dāng)前的大流行病對(duì)于像Stripchat這樣的網(wǎng)站來(lái)說(shuō)是一個(gè)好消息。該公司表示，在大流行病發(fā)生和封鎖之后，該平臺(tái)的流量上升了72%，并在2020年增加了906,181,416名新用戶(hù)。

　　但是，隨著這些平臺(tái)的用戶(hù)增加，它們成為了更大的攻擊目標(biāo)。

　　云端信息被泄漏的現(xiàn)象一直存在

　　Stripchat成為了眾多云端信息泄漏公司中的一個(gè)，VIP游戲公司在2021年初暴露了66000名用戶(hù)的用戶(hù)數(shù)據(jù)。約會(huì)網(wǎng)站，甚至是Hobby Lobby，都由于錯(cuò)誤的配置受到了網(wǎng)絡(luò)攻擊。并且這不僅僅是在私營(yíng)部門(mén)。去年夏天，Diachenko發(fā)現(xiàn)了一個(gè)暴露的Elasticsearch集群，其中就包含了190萬(wàn)條用戶(hù)名單記錄。

　　當(dāng)涉及到面向公眾的云存儲(chǔ)時(shí)，安全研究人員呼吁企業(yè)需要做更多的工作來(lái)保護(hù)他們的數(shù)據(jù)。

　　無(wú)論是由于公共云的配置錯(cuò)誤還是暴露在互聯(lián)網(wǎng)上的任何服務(wù)的漏洞，信息泄露是一個(gè)很大的問(wèn)題。企業(yè)需要持續(xù)監(jiān)測(cè)部署在企業(yè)中的所有資源，盡量減少這種信息暴露的風(fēng)險(xiǎn)。這種記錄可以在暗網(wǎng)中出售，或用于進(jìn)一步的攻擊。