Звіт: Сайт для дорослих просочується надзвичайно чутливими даними порноакторів


Дослідницька група з кібербезпеки vpnMentor під керівництвом Ноама Ротема та Рана Локара виявила протікає відро S3 з 19,95 ГБ видимих ​​даних на сервері Amazon, що базується у Вірджинії, що належить PussyCash та його мережі.

PussyCash – це явна партнерська мережа, що є власником бренду ImLive та інших подібних веб-сайтів, орієнтованих на дорослих. Цей витік виявив особисті дані та подобу понад 4000 акторів порно серед понад 875 000 файлів, а також має наслідки для всіх реальних життєвих наслідків для всіх.

Contents

Профіль компанії PussyCash

Власник ImLive та PussyCash офіційно вказаний як I.M.L. SLU, компанія, зареєстрована в Андоррі.

PussyCash розміщує програми приєднання для кількох сайтів для дорослих, сплачуючи веб-майстрам за трафік, що надсилається на сайти через банери та вихід трафіку. Вони можуть похвалитися 66 мільйонами зареєстрованих членів на своїй веб-камері чату, ImLive, поодинці. Інші веб-сайти включають Sexier.com, FetishGalaxy, Supermen.com, Shemale.com, CamsCreative.center, забыванілла.com, idesires.com, Phonemates.com, SuperTrip.com та sex.sex, серед інших.

Партнери, перелічені на веб-сайті PussyCash, включають BeNaughty, Xtube та Pornhub.

Хронологія виявлення та реакція власника

Іноді ступінь порушення даних та власник даних очевидні, і питання швидко вирішується. Але рідкісні такі часи. Найчастіше нам потрібні дні розслідування, перш ніж ми зрозуміємо, про що йде мова чи хто просочує дані.

Розуміння порушення та того, що ставить під сумнів, вимагає уважної уваги та часу. Ми наполегливо працюємо над публікацією точних та достовірних звітів, гарантуючи, що кожен, хто їх читає, розуміє їх серйозність.

Деякі постраждалі сторони заперечують факти, ігноруючи наше дослідження або зменшуючи його вплив. Отже, нам потрібно бути ретельними і переконатися, що все, що ми знайдемо, є правильним і правдивим.

У цьому випадку початкове відкриття привело нас до думки, що витік обмежувався лише кількома записами лише на відрі ImLive. Однак ми врешті-решт знайшли файли, які вказують на те, що PussyCash є власником відра, що протікає Amazon Simple Storage Service (S3).

Дата виявлення: 3 січня 2020 року
Дата компанії (PussyCash & ImLive) повідомлено: 4 січня 2020 року
Дані Amazon повідомлено: 7 січня 2020 року
Дата відповіді від ImLive: 7 січня 2020 року
Дата дії: 9 січня 2020 року

PussyCash ніколи не відповів на жодну з наших спроб зв’язатися з ними щодо витоку даних, включаючи їх службовця із захисту даних. Нарешті, ImLive відповів на один з наших електронних листів, заявивши, що вони подбають про це та передадуть інформацію технічній команді PussyCash.

Оскільки PussyCash не наймає талантів на своєму головному веб-сайті, правдоподібно припустити, що їхні дані про витікання з одного або декількох інших веб-сайтів, таких як ImLive. Це припущення, що ми не можемо довести, не заглибившись у витоки даних. Ми також побачили записи, в яких конкретно згадується ImLive, саме тому ми вирішили використати це як приклад для частин цього звіту, а не обов’язково інших марок та сайтів PussyCash. Однак, варто відзначити, що саме Bucket названо на честь PussyCash.

Приклади записів у базі даних

Дані впливають

Існує щонайменше 875 000 ключів, які представляють різні типи файлів, включаючи відео, маркетингові матеріали, фотографії, кліпи та скріншоти відеочатів та поштові файли. У кожній папці zip – і, мабуть, одна папка ZIP на модель – часто є кілька додаткових файлів (наприклад, фотографії та сканування документів), і багато додаткових елементів, які ми вирішили не досліджувати..

Включені папки можуть бути віком до 15-20 років, але також є такими ж останніми, як останні кілька тижнів. Навіть для старих файлів, враховуючи характер даних, вони все ще є актуальними та мають однаковий вплив як щойно додані файли.

Фотографії та сканування повних паспортів та національних ідентифікаційних карток, у тому числі видимих:

  • Повне ім’я
  • День народження
  • Місце народження
  • Статус громадянства
  • Національність
  • Номер паспорта / посвідчення особи
  • Випуск паспорта & терміни придатності
  • Національно зареєстрована стать
  • ID фото
  • Особистий підпис
  • Повні імена батьків
  • Відбитки пальців
  • Додаткові дані, що стосуються конкретної країни (наприклад, інформація про контакт у надзвичайних ситуаціях для громадян Великобританії)

Випуск моделі та китайський паспорт

 

Бразильська посвідчення особи з відбитками пальців

Фотографії та сканування водійських прав, включаючи видимі:

  • Номер посвідчення водія
  • Фото
  • Дата народження
  • Зріст / вага
  • Зареєстрована стать
  • Повна адреса
  • Підпис
  • Тип транспортного засобу, якому надається особа в експлуатації
  • Додатковий ІПС, залежно від країни (наприклад, статус донора органів та зорові перешкоди для громадян США)

Ліцензії водія Каліфорнії (США), включаючи статус донора органів

Ідентифікаційна картка уніфікованих служб США:

  • Відділення служби (наприклад, армія)
  • Військове звання
  • Кольорове кодування (позначає поточний статус власника: відставний, активний, привілейований, залежний від військовослужбовців)
  • Повне ім’я

Фотографії та сканування кредитних карток, включаючи видимі:

  • Повний номер кредитної картки
  • Термін придатності
  • Ім’я власника картки

Техаське водійське посвідчення; Чейз, виданий банком Visa

Моделі форм випуску, включаючи:

  • Повна юридична назва
  • Професійні псевдоніми
  • Підпис
  • Дата народження
  • Адреса
  • Телефонний номер
  • Номер паспорта / посвідчення особи
  • Ім’я та адреса фотографа
  • Ім’я та адреса свідка
  • Виміри тіла (зріст, вага, стегна, бюст, талія)
  • Деталі пірсингу, татуювання та шрами
  • Ціни

Модель форми випуску із зазначенням вимірювань тіла 

Модель із зазначенням пірсингу тіла, включаючи місця для позначення шрамів та татуювань

Номери соціального страхування та сканування карт:

Картка соціального забезпечення (США)

Фотографія моделі, що тримає ідентифікаційні картки (часто дві форми):

Чеська модель має дві форми ідентифікації

Свідоцтво про шлюб:

  • Повне ім’я
  • Повне ім’я подружжя
  • Професія
  • Вік
  • Імена батьків
  • Дата одруження
  • Місце шлюбу

Сканування свідоцтва про народження:

  • Повне ім’я народження
  • Стать народження
  • Дата народження
  • Місце народження
  • Національність
  • Імена батьків

Свідоцтво про народження громадянина Великобританії

Рукописні біоси, включаючи:

  • Сексуальні уподобання (тобто атракціони, фантазії, методи)
  • Надії та мрії
  • Поточний вид діяльності
  • Вибране, від музики до їжі до хобі

Сторінка рукописної біографії південноамериканського зразка

Зачеплені країни

Це країни, які ми знайшли, але ми не відкривали кожен файл і, можливо, є більше національностей, постраждалих від витоку.

  • Африка
    • Кенія
    • Південна Африка
  • Азії
    • Китай
    • Ізраїль
    • Казахстан
    • Киргизстан
    • Таїланд
  • Австралія
  • Європа
    • Болгарія
    • Чеська Республіка
    • Данія
    • Франція
    • Німеччина
    • Великобританія (включаючи Уельсу)
    • Італія
    • Нідерланди
    • Польща
    • Росія
    • Сербія
    • Словаччина
    • Швейцарія
    • Україна
  • Північна Америка
    • Канада
    • США
  • Латинська Америка
    • Аргентина
    • Бразилія
    • Перу

ImLive.com заявляє, що вони “дуже доглядають за впровадженням та підтримкою безпеки Служб та вашої інформації” та “ввели відповідні фізичні та технологічні гарантії, щоб запобігти несанкціонованому доступу, підтримати безпеку даних та правильно використовувати інформацію, яку ми збираємо в Інтернеті. Ці гарантії залежать від чутливості інформації, яку ми збираємо та зберігаємо ».

В “Повідомлення про конфіденційність даних хостів,”ImLive включає невблаганний перелік даних, які вони“ збиратимуть, оброблятимуть і зберігатимуть ”під час контрактних відносин з моделями, який полягає в наступному:

  • ОСОБА ІНФОРМАЦІЯ: включаючи юридичне ім’я та контактну інформацію (повне ім’я, домашня адреса, номер телефону), дата народження, державні ідентифікаційні номери (посвідчення водія), громадянство / місце проживання, особистий статус, фотографії та інший збір даних, дозволений або вимагається місцевим законодавством ;
  • ДОПОМОГА ІДЕНТИФІКАЦІЙНА ІНФОРМАЦІЯ: включаючи будь-яке ім’я (окрім юридичного імені господаря), яке коли-небудь застосовується Ведучим, включаючи дівоче прізвище, псевдонім, прізвисько, ім’я сцени або професійне ім’я; розбірливу паперову копію чи розбірливу цифрову відскановану або іншу електронну копію паперової копії ідентифікаційного документа, що перевіряється, і, якщо цей документ не містить недавнього та впізнаваного зображення Хоста, розбірливу паперову копію Карти ідентифікаційної картинки (як ця термін визначений нижче); копія зображення (включаючи камери в прямому ефірі чи рекламу), а де зображення публікується на веб-сайті чи послузі комп’ютера в Інтернеті, копія будь-якої URL-адреси, пов’язаної із зображенням. Якщо жодна URL-адреса не пов’язана із зображенням, записи повинні містити ще одну унікальну ідентифікаційну посилання, пов’язану з розташуванням зображення в Інтернеті; а для будь-якого Ведучого зображення, виконаного в Інтернеті, копію зображень із часом, достатньою для ідентифікації виконавця на зображенні та асоціювання виконавця із записами, необхідними для підтвердження його віку.
  • КАРТИНА ІДЕНТИФІКАЦІЇ КАРТИНИ: включаючи документ, виданий або: (a) США, урядом США, або його політичним підрозділом, або територією Сполучених Штатів, що містить фотографію, ім’я особи, яку вказали, та дату про народження господаря та надає конкретну інформацію, достатню для органу, що видав документи, для підтвердження його дійсності, наприклад паспорт, постійну карту резидента (загальновідому назву “Зелена карта”) або документ про дозвіл на роботу, виданий США, посвідчення водія або інша форма посвідчення, видана державою або округом Колумбія; або (b) іноземним державним еквівалентом будь-якого з перерахованих вище документів, коли особа, яка є предметом ідентифікаційної картки зображення, є громадянином США, який знаходиться за межами Сполучених Штатів на момент первинного виробництва, а виробник підтримує необхідні записи, будь то громадянин США чи не є громадянином США, розташовані за межами США на первісну дату виготовлення. Ідентифікаційна картка зображення повинна бути дійсною з початкової дати виготовлення.
  • ІНФОРМАЦІЯ ПРО ОПЛАТУ: включаючи банківську інформацію, компенсації та відрахування та іншу пов’язану інформацію.
  • ІНФОРМАЦІЯ ПРО ДІЯЛЬНІСТЬ ТА ТАЛЕНТ: включно з кваліфікацією, оцінкою, плануванням розвитку, дозволами політики безпеки, комунікаційними даними та іншими методами управління талантами та командою.
  • ЗАЯВКИ / ЗАПИСИ: Крім того, Компанія збирає та підтримує різні типи особистої інформації, включаючи особисту інформацію, що міститься в опитувальниках та оцінках історії хвороби..

Процедури кібербезпеки ImLive.com держав що вони реалізували для даних своїх хостів / моделей, включають:

  • Безпечна мережа топологія, яка включає системи запобігання вторгнень та брандмауер;
  • Зашифроване спілкування;
  • Аутентифікація та контроль доступу;
  • Тести зовнішнього та внутрішнього аудиту; тощо.

У своєму Повідомленні про конфіденційність даних Хазяїна вони також пишуть, що для забезпечення “безпеки інформації наших користувачів та запобігання несанкціонованому використанню будь-якої такої інформації Компанія використовує стандартні галузеві практики та процедури, такі як перевірки відповідності для забезпечення дотримання політики, оцінки впливу на захист даних, внутрішній аудит обробної діяльності тощо.

Однак вони “не дають жодних гарантій, явних, маються на увазі чи іншим чином”, що вони будуть перешкоджати або нести відповідальність за несанкціонований доступ до зібраних ними персональних даних..

Вплив на порушення даних

Цей витік представляє потенційно серйозну загрозу для тих, чиї дані були викриті. Це має багато наслідків, і все це може дуже добре зруйнувати життя порно-моделей / акторів, які займаються цим.

Крадіжки особистих даних

Майже в кожному поштовому файлі, який виявили наші дослідники, було все необхідне, щоб злочинець легко міг присвоїти особу іншого. Це також інформація, яку ми регулярно бачимо, як продається в темній мережі, часто за дуже привабливими цінами. З чиїмсь національним ідентифікаційним номером, сканом їх ідентифікатора фотографії, їх повною адресою, номером кредитної картки та навіть іменем їхніх батьків або подружжя, у вас є повний пакет крадіжок особи під рукою..

Шахраї

Використовуючи подобу висококваліфікованих дорослих акторів та актрис, і неетичні компанії, і шахраї можуть вгамувати невинних людей зі своїх зароблених грошей. Також правдоподібно, що зображення та відео будь-якої з цих моделей можуть використовуватися для вилову риболовлі на додатках / сайтах для знайомств для вчинення шахрайства на цих платформах.

Незалежно від того, що шахрайським шляхом їх імідж використовує для просування товару чи послуги, або навіть вимальовує модель та вимагає гроші від особистих зв’язків, загроза афери вимальовується подібними даними під рукою злочинців.

Публічне приниження та вплив на особисте життя / стосунки

Для багатьох людей, які роблять вибір зняти камеру в порнографічному характері, саме такі обставини, а не кричуще бажання фарбувати їх ню-образ, призводять їх до такого рішення. Це означає, що у переважній більшості випадків – на що вказують назви етапів та положення про анонімність у деяких контрактах – що модель потенційно може бути спустошена, зазнавши впливу своїх близьких, спричинивши їх непоправне збентеження та лихо..

Багато знайдених нами файлів мають 10-20 років, і, можливо, з моменту залучення до роботи з порнографією люди перейшли до створення професійного та особистого життя поза індустрією дорослих. Для тих, хто намагався забути і приховати минуле, їхня родина, друзі та колеги можуть не знати про це, і це може поставити під загрозу їхні поточні стосунки..

Шантаж і вимагання

Влада кар’єрних злочинців та особи, які мають особисті злоби, могли легко шантажувати або вимагати моделей, погрожуючи викрити їх, публічно, професійно, особисто чи будь-яку їх комбінацію.

Засліплення фанатами

Для деяких людей порнографія є важливою ланкою; для кількох вони можуть стати одержимими певним актором і мати сильне бажання зустрітися з ними. Є такі, які потенційно могли б досягти цього, тим самим переслідуючи людину, якби у них було достатньо інформації про них (наприклад, справжнє ім’я, адреса, номер телефону тощо).

Сталкінг – це шлях до низки додаткових загроз, включаючи домагання, зґвалтування, викрадення та навіть вбивства.

Втрата роботи та професійне збентеження

Після виявлення “побічної суєти” або минулого штатного залучення до індустрії для дорослих, вкрай правдоподібно, що це може негативно вплинути на моделі. Загрожуючи роботою та професійною репутацією.

Викриття ЛГБТК осіб

Існує велика небезпека для моделей LGBTQ, які піддаються впливу. У всьому світі існує близько 70 країн, де гомосексуалізм досі криміналізується – наприклад, до 21 років ув’язнення в Кенії. У багатьох інших одностатеві стосунки значним відсотком населення розглядаються як табу та огидні.

Багато чоловіків-геїв та транс-осіб переслідують міліцію, вимагають і шантажують за хабарі та сексуальні прихильності в обмін на свободу / безпеку. Тих, хто не дотримується, часто звинувачують у підроблених зборах, а іноді замість цього зґвалтують. Через цей витік їх адреса, очевидно, стає доступною разом з іншими PII – що несе їх безпосередньо під загрозою.

Юридичні наслідки (залежно від місця розташування)

Закони про порнографію можуть сильно відрізнятися в залежності від регіону. Приблизно 30 країн повністю забороняють Інтернет-порно повністю, а майже 80 забороняють продаж чи розповсюдження порно. Штрафи за порушення цих заборон включають різні суми штрафних санкцій та в’язницю. Тут подано деякі традиційні товариства, але є також кілька країн, де дивно, що закони про порно-порно все ще існують (наприклад, Австралія).

Порушення договору

Розкриваючи справжнє ім’я та деталі моделі – а також пов’язуючи її з їх сценічним ім’ям – можливо, компанія та навіть агенції талантів порушують договір.

Права та гідність людини

Є багато, що можна обговорити на шляху до прав людини та гідності людини у дорослому секторі. Чи розумно вважати, що приниження моделей / господарів / акторів країн, що розвиваються, вимагають, щоб вони брали себе поряд із двома формами ідентифікації? Варто також зазначити, що значна частина ІРП не була відредагована агенціями, які, очевидно, надавали / передавали принаймні частину цих документів та фотографій на PussyCash та / або її афілійовані веб-сайти.

Багато моделей живуть у або приїжджають із країн, які є економічно невигідними. Їх соціально-економічний статус може бути, принаймні частково, мотивом вибору традиційно табу.

Нарешті, ми можемо подумати про властивий психологічному впливу, який може мати витік даних у цій конкретній галузі. Якою може бути реакція моделей, особисті дані, документи, фотографії та відеозаписи? Важливо зауважити, що ми складаємо ці звіти про свої висновки задля того, щоб довести усвідомлення важливості захисту власних даних, а також для компаній серйозно сприймати наслідки кіберзагроз та загрози інформаційній безпеці. Ми не можемо рекомендувати достатньо, щоб, якщо ви знаходитесь в обставинах, коли вам потрібно фактично підтвердити свою особу, ви редагували якомога більше інформації, перш ніж надсилати фотографії або сканування офіційних документів.

Поради експертів

PussyCash міг легко уникнути цього витоку, якби вжив деяких основних заходів безпеки для захисту відро S3. До них відносяться, але не обмежуються ними:

  1. Захистіть ваші сервери.
  2. Дотримуйтесь правильних правил доступу.
  3. Ніколи не залишайте систему, яка не потребує автентифікації, відкритою для Інтернету.

Будь-яка компанія може повторити однакові кроки, незалежно від її розміру. Щоб отримати докладніший посібник щодо захисту свого бізнесу, перегляньте наш посібник із захисту вашого веб-сайту та онлайн-бази даних від хакерів.

Як і чому ми виявили порушення

Дослідницька група vpnMentor виявила порушення в базі даних Pussycash як частина величезного проекту веб-карти. Наші дослідники використовують сканування портів для дослідження конкретних блоків IP та тестування відкритих отворів у системах на наявність слабких місць. Вони оглядають кожну дірку на предмет протікання даних.

Коли вони виявляють порушення даних, вони використовують експертні методи для перевірки ідентичності бази даних. Потім ми попереджаємо компанію про порушення. Якщо це можливо, ми також попередимо тих, кого постраждало від порушення.

Нам вдалося отримати доступ до відра S3 Pussycash, оскільки воно було повністю незахищеним та незашифрованим. За допомогою веб-браузера команда може отримати доступ до всіх файлів, розміщених у базі даних.

Мета цього веб-проекту – допомогти зробити Інтернет безпечнішим для всіх користувачів. Як етичні хакери, ми зобов’язані повідомити компанію, коли виявимо недоліки в їхній безпеці в Інтернеті.

Однак ця етика також означає, що ми також несемо відповідальність перед громадськістю. Це особливо актуально, коли порушення даних компаній містить такий величезний обсяг приватної та конфіденційної інформації.

Про нас та попередні звіти

vpnMentor – це найбільший у світі веб-сайт з огляду VPN. Наша дослідницька лабораторія – це промо-сервіс, який прагне допомогти інтернет-спільноті захиститися від кіберзагроз, навчаючи організації щодо захисту даних своїх користувачів..

Раніше ми виявили порушення LightInTheBox це поставили під загрозу дані своїх клієнтів. Нещодавно ми також виявили, що компанія є власником великої готельної мережі AccorHotels виставлено понад 1 ТБ даних гостей. Ви також можете прочитати наше Звіт про витоки VPN та звіт про статистику конфіденційності даних.

Коментар PussyCash.com: «Конфіденційність та захист даних користувачів є першочерговим завданням для нас. З цієї причини ми оперативно діяли та видаляли доступ громадськості до відкритої папки, як тільки vpnMentor (технологічна дослідницька фірма) попередила нас про цей факт.

Слід підкреслити, що жодна інформація не просочилася, за винятком vpnMentor, ми впевнені, що вони не використовуватимуть її з будь-якою метою.

Варто також зазначити, що папка, про яку йдеться, є з 2013 року. Вона містить деталі придбаних маркетингових матеріалів професійних акторів, які надавали відео та зображення для маркетингових цілей, які використовувались для просування різних веб-сайтів. Файли фактично підтвердили, що всі актори старше 18 років.

Ми повинні підкреслити, що інформація, що міститься у папці, не містить жодної інформації про виконавців чи членів будь-якого веб-сайту, який рекламує PussyCash.com.

Як було сказано вище, папку було негайно вилучено з загальнодоступного доступу, і вказівки були повторені різним технічним управлінням щодо поточного контролю щодо зберігання інформації “.

 

Коментар vpnMentor: Після коментаря Pussycash.com ми вирішили замінити згадки про «моделі моделей» на «порноактори / моделі. Вони заявляють, що люди у відрі були “порноакторами”, а не “моделями кулачків”, і оскільки це було припущенням, ми вирішили прийняти їхню вимогу.

Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map