安全漏洞是由数据泄露猎人 Bob Diachenko 发现的,该专家发现了一个无需身份验证即可在线访问的 ElasticSearch 数据库集群。Diachenko 于 11 月 5 日发现了该集群,但该数据库于 11 月 4 日被搜索引擎索引。
暴露的数据库为Stripchat,包含近 2 亿条记录。暴露的数据包括电子邮件地址、用户名和 IP 地址以及其他信息等,数据泄露Stripchat网站用户和模特带来重大的隐私风险。非法分子可以使用此类数据进行勒索或将其作为网络钓鱼攻击的目标。
以下是公开记录的详细列表:
包含大约 6500 万条记录(用户名、电子邮件、IP 地址、ISP 详细信息、小费余额、帐户创建日期、上次登录日期、帐户状态)的用户数据库
约 421,000 条记录的模型数据库(用户名、性别、工作室 ID、直播状态、提示菜单/价格、脱衣舞分数)
约 719,000 条发送给模型的聊天消息的审核数据库,包括私人和公共消息。每条记录都包含发送消息的查看者的用户 ID。
一个包含大约 1.34 亿条记录的交易数据库,其中包含有关用户向模型支付的代币和小费的信息,包括私人小费。
截止目前,StripChat 尚未回应。
原创文章,作者:首席安全官,如若转载,请注明出处:https://www.cncso.com/stripchat-exposes-sensitive-data-of-millions-of-users.html
