CAM4, un sitio web de transmisión en vivo para adultos, ha pasado por una violación de datos que expuso más de 7 TB de información de identificación personal de sus miembros.
El incidente fue descubierto Detectives de seguridad y Anurag Sen. La PII se almacenó en más de 10.88 mil millones de registros de bases de datos. El error es un clúster Elasticsearch mal configurado.
Incumplimiento de datos CAM4: Que pasó?
La PII fue arrendada porque una de las bases de datos de producción del sitio web se dejó abierta a Internet en un servidor Elasticsearch mal configurado. CAM4 tiene aproximadamente 2 mil millones de visitantes al año, con miembros que transmiten más de 1 millones de horas de contenido para adultos semanalmente. Esto hace más de 75,999 shows privados que se transmiten todos los días.
La buena noticia es que Granity Entertainment eliminó de inmediato la base de datos no segura, la empresa matriz irlandesa de CAM4, poco después del incidente fue reportado.
Lo que estaba en los registros de miembros de CAM4 expuestos?
Al parecer,, los registros de usuario de CAM4 contenían varios PII en diferentes combinaciones, incluyendo nombres, la orientación sexual, mensajes de correo electrónico, Direcciones IP, transcripciones de mensajes de correo electrónico, e incluso conversaciones privadas de usuarios.
Más precisamente, la base de datos contenía los siguientes tipos de información confidencial:
- nombres y apellidos
- Direcciones de correo electrónico
- País de origen
- Fechas de inscripción
- Preferencia de género y orientación sexual.
- Información del dispositivo
- Detalles diversos del usuario, como el idioma hablado
- Los nombres de usuario
- Registros de pagos, incluido el tipo de tarjeta de crédito, monto pagado y moneda aplicable
- Conversaciones de usuario
- Transcripciones de correspondencia por correo electrónico
- Conversaciones entre usuarios
- Transcripciones de chat entre usuarios y CAM4
- Información de token
- Hashes de contraseña
- Direcciones IP
- Registros de detección de fraude
- Registros de detección de spam
Adicionalmente, 11 millones de registros también incluían al menos una dirección de correo electrónico de proveedores de correo electrónico como Gmail, iCloud, y Hotmail. Esto genera una gran cantidad de información altamente confidencial., asociado con un sitio para adultos.
Residentes estadounidenses también expuestos en la fuga CAM4
Después de un análisis detallado., los investigadores de seguridad descubrieron que 6.5 millones de los usuarios comprometidos de CAM4 son residentes de los Estados Unidos. Otras nacionalidades afectadas incluyen usuarios brasileños e italianos., de acuerdo con la Informe de detectives de seguridad:
EE.UU., Los usuarios brasileños e italianos fueron los más afectados, aunque la cantidad precisa de registros de correo electrónico es difícil de medir con precisión debido a la duplicación de múltiples entradas. Como se esperaba, países como los EAU, Arabia Saudita e Irán tuvieron cero entradas dado el hecho de que estos países prohíben el contenido para adultos en el país.
Incumplimiento de datos CAM4: las consecuencias
La disponibilidad de registros de detección de fraude podría permitir a los piratas informáticos maliciosos comprender mejor cómo se han configurado los sistemas de ciberseguridad, los investigadores observaron. Este conocimiento podría entonces explotarse como una herramienta de verificación eficiente para los actores de amenazas., permitiendo un mayor nivel de penetración del servidor.
Los ataques maliciosos que involucran malware también se pueden habilitar, como "los datos del backend del sitio web podrían aprovecharse para explotar el sitio web y crear amenazas, incluidos los ataques de ransomware".
Finalmente, El mayor riesgo está asociado con los aspectos financieros y de reputación de los usuarios comprometidos de CAM4. Estafas de chantaje (estafas Sextorsión) puede ser lanzado contra las víctimas, como ya hemos visto en otros casos similares.
En octubre 2019, Los investigadores de seguridad de Data Viper Bob Diachenko y Vinny Troia descubrió un servidor Elasticsearch abierto que contenía “una cifra sin precedentes 4 mil millones de cuentas de usuario que abarcan más de 4 terabytes de datos."Se podía acceder al servidor sin necesidad de autenticación, que expone los datos de más de 1.2 mil millones de individuos únicos.