Сеть вебкам-сайтов держала в открытом доступе данные моделей и миллионов пользователей

cggwiqfaey11degcad9lr-2gmqa.png

Компания, управляющая несколькими популярными вебкам-сайтами, оставила внутреннюю базу данных незащищенной. В открытый доступ попали данные миллионов пользователей, а также работниц сервисов Amateur TV, Webcampornoxxx и Placercams. Все они находятся под управлением барселонской компании VTS Media.

Сайты были популярны среди жителей Европы, в частности, Испании. Там, как пишет TechCrunch, Amateur TV — это один из самых посещаемых подобных ресурсов.

База данных, содержащая сведения об активности сайта за несколько месяцев, оставалась без пароля несколько недель. В неё входили подробные записи о том, когда пользователи вошли в систему, включая их имена, а иногда и IP-адреса. В базе были также и личные сообщения, которые пользователи отправляли моделям и другим пользователям, а также неудачные попытки входа в систему. Открытые данные также показали, какие видео смотрели пользователи. Ресурс сохранял имена пользователей и пароли в виде открытого текста. Никакие из данных не были зашифрованы.
В целом, пишет TechCrunch, база данных оказалась достаточно подробной, чтобы при желании сопоставить аккаунты с реальными личностями. Уязвимость затронула не только пользователей, но и моделей, которые транслируют контент.

Уязвимость в базе данных обнаружили исследователи из Condition: Black — компании, которая специализируется на кибербезопасности.

«Это был серьезный провал с технической точки зрения и с точки зрения соответствия стандартам, — сказал в комментарии изданию Джон Ветингтон, основатель Condition: Black. — После того, как мы изучили политику и условия конфиденциальности данных сайтов, стало ясно, что пользователи, вероятно, не подозревали, что их действия отслеживаются с таким уровнем детализации. Пользователи всегда должны принимать во внимание последствия утечки своих данных, особенно в тех случаях, когда это может изменить жизнь».

Учитывая, что и компания, и ее серверы расположены в Европе, обнародование личной информации о пользователях попадает под нарушение правил Общего регламента по защите данных Еврососоюза (GDPR). За это VTS Media могут оштрафовать на 4% от её годового оборота.

Ранее в этом году проект Pen Test Partners опубликовал результаты исследования одного из популярных дейтинг-приложений, посвящённого поиску партнёров для секса втроём. Уязвимость позволяла посторонним лицам просматривать местоположения пользователей ресурса в режиме реального времени. Как сообщили в Pen Test Partners, из-за уязвимости сайта они обнаружили несколько пользователей приложения в государственных учреждениях в разных странах, включая Верховный суд США, Белый дом и Даунинг-стрит, 10 (резиденцию премьер-министра Великобритании). Также приложение позволяло увидеть точную дату рождения пользователя, что позволяет легко деанонимизировать его.

В 2016 году группировка под названием Impact Team взломала канадский сайт знакомств для женатых людей Ashley Madison. В открытый доступ попали более 37 млн пользователей из 40 стран мира, а также исходный код сайта. Этот взлом привёл к распаду множества семей и даже нескольким случаям самоубийств.

© Habrahabr.ru