安全漏洞是由資料外洩獵人Bob Diachenko 發現的,該專家發現了一個無需身份驗證即可在線上存取的ElasticSearch 資料庫叢集。 Diachenko 於11 月5 日發現了該集群,但該資料庫於11 月4 日被搜尋引擎索引。
暴露的資料庫為Stripchat,包含近2 億筆記錄。暴露的資料包括電子郵件地址、使用者名稱和IP 位址以及其他資訊等,資料外洩Stripchat網站使用者和模特兒帶來重大的隱私風險。非法分子可以使用此類數據進行勒索或將其作為網路釣魚攻擊的目標。
以下是公開記錄的詳細清單:
包含約6,500 萬筆記錄(使用者名稱、電子郵件、IP 位址、ISP 詳細資料、小費餘額、帳戶建立日期、上次登入日期、帳戶狀態)的使用者資料庫
約421,000 筆記錄的模型資料庫(使用者名稱、性別、工作室ID、直播狀態、提示選單/價格、脫衣舞分數)
約719,000 條發送給模型的聊天訊息的審核資料庫,包括私人和公共訊息。每筆記錄都包含發送訊息的檢視者的使用者ID。
一個包含大約1.34 億筆記錄的交易資料庫,其中包含有關用戶向模型支付的代幣和小費的信息,包括私人小費。
截止目前,StripChat 尚未回應。
原文文章,作者:首席安全官,如若轉載,請註明出處:https://cncso.com/tw/stripchat-exposes-sensitive-data-of-millions-of-users.html
