Fuga de datos: sitio porno deja a millones de usuarios “desnudos”

Cam4 es el gran protagonista de una grosera fuga de datos

Cam4 es el gran protagonista de una grosera fuga de datos

El equipo de investigación de seguridad, dirigido por Anurag Sen, descubrió una importante fuga de datos que se extiende a miles de millones de registros en el sitio web de transmisión en vivo para adultos CAM4.com.

La fuga determinó que el tamaño de la base de datos del servidor excedió los 7 terabytes con registros de producción que datan del 16 de marzo de 2020 y aumentan a diario.

La base de datos no segura de Elastic Search incluía una cantidad significativa de información tanto de usuarios como de empresas, y la gran mayoría de los registros de datos de correo electrónico se referían a usuarios en los EE. UU.

La compañía con sede en Irlanda fue contactada de inmediato y el servidor fue asegurado poco después.

¿Quién es CAM4?

CAM4 es un sitio web de “modelo de cámara” de transmisión en vivo que proporciona contenido explícito destinado solo a adultos.

El CAM4 es utilizado principalmente por artistas aficionados de cámaras web con clientes del sitio que pueden comprar tokens virtuales que pueden usarse para dar propina a los artistas o ver programas privados.

Según informes noticiosos, CAM4 ha pagado más de U$S 100 millones en comisiones de artistas desde su creación en 2007.

Conexión Surecom Corp

Después de contactar directamente a CAM4.com, el equipo de seguridad recibió una pronta respuesta y también les aconsejó informar a otra compañía llamada Smart-X.net.

Tras una investigación adicional, el equipo de investigación descubrió que ambos dominios (CAM4.com y Smart-X.net) son propiedad de la compañía matriz Surecom Corp.

¿Qué se filtró?

Número de registros filtrados: 10.88 mil millones incluyendo información de identificación personal (PII)
Número de clientes / usuarios afectados: Desconocido
Tamaño del servidor: 7 terabytes
Ubicación del servidor : Países Bajos, organizado por Mojohost Bv
Ubicación de la compañía: Irlanda (también registrada en otras jurisdicciones)

Según el equipo de investigación, millones de entradas de PII estaban disponibles para la vista del público sin medidas de seguridad adecuadas, que incluyen:

  • Nombre y apellido
  • Correos electrónicos
  • País de origen
  • Fechas de inscripción
  • Preferencia de género y orientación sexual.
  • Información del dispositivo
  • Detalles de usuario diversos como el idioma hablado
  • Nombres de usuario
  • Registros de pagos, incluido el tipo de tarjeta de crédito, el monto pagado y la moneda aplicable
  • Conversaciones de usuario
  • Transcripciones de correspondencia por correo electrónico
  • Conversaciones entre usuarios
  • Transcripciones de chat entre usuarios y CAM4
  • Información de token
  • Hashes de contraseña
  • Direcciones IP
  • Registros de detección de fraude
  • Registros de detección de spam

Los registros revelan información de contraseña de usuario

El recuento de correo electrónico superó varios millones, aunque el número exacto no se pudo medir con precisión debido a múltiples entradas.

Según el equipo de investigación, un gran volumen de correos electrónicos provino de los principales dominios de correo electrónico como gmail.com, icloud.com y hotmail.com.

Sin embargo, muchos datos privados no estaban disponibles mientras que los campos de contraseña estaban enmascarados en los casos vistos por los investigadores.

La base de datos contenía la actividad del usuario y las fechas de inicio de sesión para la vista pública

En total, alrededor de 11 millones de registros contenían correos electrónicos con algunas entradas que contenían múltiples direcciones de correo electrónico relacionadas con usuarios de varios países.

El equipo logró obtener una visión amplia país por país de los registros de correo electrónico expuestos, aunque no todos los países están listados.

Los usuarios de EE. UU., Brasil e Italia fueron los más afectados, aunque la cantidad precisa de registros de correo electrónico es difícil de medir con precisión debido a la duplicación de múltiples entradas.

Como se esperaba, países como los Emiratos Árabes Unidos, Arabia Saudita e Irán tenían cero entradas dado el hecho de que estos países prohíben el contenido para adultos en el país.

El equipo de seguridad también descubrió 26,392,701 entradas con hashes de contraseñas con una proporción de hashes pertenecientes a usuarios de CAM4.com y algunos de los recursos del sistema del sitio web.

En total, unos “cientos de entradas” revelaron nombres completos, tipos de tarjetas de crédito y montos de pago.

La combinación de los tres es un aspecto crítico, en lugar de tener acceso limitado a cantidades de pago sin nombres completos, porque al unísono crean un riesgo de seguridad mucho mayor en comparación con solo uno o dos puntos de información de forma aislada.

Según la investigación realizada por el equipo de seguridad, no está claro a quién se refiere la información, ya sea proveedores de contenido o espectadores de contenido. Sin embargo, puede darse el caso de que todos los usuarios tengan la opción de publicar videos si así lo desean.

Detalles de compra con correo electrónico

Impacto de violación de datos

De la gran cantidad de registros descubiertos y el tipo de información disponible, varios resultados negativos corren el riesgo de ocurrir, incluido el robo de identidad, estafas de phishing, ataques a sitios web y chantaje.

Los nombres completos, correos electrónicos y hashes de contraseñas también podrían usarse para identificar la identidad real de los usuarios y cometer varios tipos de engaño y fraude.

Los correos electrónicos de los usuarios podrían dirigirse con datos filtrados y luego usarse maliciosamente para activar clics con estafas de phishing y malware implementadas contra objetivos desprevenidos.

El hecho de que una gran cantidad de contenido de correo electrónico provenga de dominios populares como Gmail, Hotmail e iCloud, dominios que ofrecen servicios complementarios como almacenamiento en la nube y herramientas comerciales, significa que los usuarios de CAM4 comprometidos podrían ver grandes volúmenes de datos personales, incluidas fotografías , los videos y la información comercial relacionada se filtró a los piratas informáticos, suponiendo que sus cuentas finalmente fueron pirateadas mediante phishing como un ejemplo.

Esta información podría ser armada para comprometer a otras personas y grupos, como miembros de la familia, colegas, empleados y clientes de otras empresas.

La disponibilidad de registros de detección de fraude permite a los piratas informáticos comprender mejor cómo se han configurado los sistemas de ciberseguridad y podrían usarse como una herramienta de verificación ideal para piratas informáticos maliciosos, y también, permitiendo un mayor nivel de penetración en el servidor.

Además, los datos del backend del sitio web podrían aprovecharse para explotar el sitio web y crear amenazas, incluidos los ataques de ransomware.

Posiblemente el mayor riesgo, tanto en el aspecto financiero como en el de reputación, es el riesgo de estafas de chantaje que podrían implementarse contra usuarios que creen que son anónimos cuando comparten datos y contenido comprometedores.

Prevención de la exposición de datos

¿Cómo puede evitar que su información personal se exponga en una fuga de datos y asegurarse de que no sea víctima de ataques, cibernéticos o del mundo real, si se filtra?

  • Tenga cuidado con la información que proporciona y a quién
  • Compruebe que el sitio web en el que se encuentra es seguro (busque https y / o un candado cerrado)
  • Solo dé lo que cree que no puede usar en su contra (evite los números de identificación del gobierno, las preferencias personales que pueden causarle problemas si se hace público, etc.)
  • Cree contraseñas seguras  combinando letras, números y símbolos
  • No haga clic en los enlaces de los correos electrónicos a menos que esté seguro de que el remitente es legítimamente quien se representa.
  • Vuelva a verificar las cuentas de las redes sociales (incluso las que ya no usa) para asegurarse de que la privacidad de sus publicaciones y sus datos personales sean visibles solo para las personas en las que confía
  • Evite usar la información de la tarjeta de crédito y escribir contraseñas en redes Wi-Fi no seguras
  • Obtenga más información sobre lo que constituye el cibercrimen, los mejores consejos para prevenir ataques de phishing y cómo evitar el ransomware

fuga, fuga, fuga, fuga

Por Marcelo Lozano – General Publisher IT CONNECT LATAM