Procureli podaci više od 250 miliona korisnika i modela popularnog sajta za odrasle Stripchat

Vesti, 17.11.2021, 11:00 AM

Baza podataka koja sadrži veoma osetljive informacije o korisnicima i modelima na popularnom sajtu Stripchat ostavljena je potpuno nezaštićena, zbog čega su i modeli i korisnici dovedeni u nezgodnu situaciju koja može eskalirati do iznude, nasilja i još mnogo toga.

Stripchat je popularni sajt za odrasle osnovan 2016., sa sedištem na Kipru, koji prodaje pristup golim modelima uživo.

Volodimir „Bob“ Dijačenko, šef istraživanja u firmi Comparitech, objavio je da je 5. novembra otkrio nezaštićenu bazu podataka na Elasticsearch klasteru. Baza podataka je sadržala podatke o 65 miliona korisnika registrovanih na sajtu (korisničko ime, imejl adresa, IP adresa, detalji ISP-a, iznosi bakšiša, datum kreiranja naloga, datum poslednje prijave, status naloga), podatke o 421.000 modela na sajtu (korisničko ime, pol, ID studija, status uživo, meniji sa savetima/cene, i nešto što se naziva njihovim „strip rezultatom“), podatke o 134 miliona transakcija (informacije o tokenima i napojnice koje korisnici plaćaju modelima, uključujući privatne savete) i podatke o 719.000 poruka (ID korisnika i modela koji su uključeni u razgovore).

Nejasno je da li je još neko, ko bi mogao imati loše namere, uspeo da pristupi ovim podacima pre nego što je Dijačenko ukazao na problem a podaci zaštićeni najzad 7. novembra.

Dijačenko kaže da bi incident mogao predstavljati značajan rizik za privatnost, kako za gledaoce Stripchata, tako i za modele.

„Izloženost [podataka] bi mogla biti digitalna i fizička pretnja i za gledaoce i za modele Stripchata. Posebno zabrinjavaju IP adrese, koje se mogu koristiti da se otkrije nečija približna lokacija. One bi mogle da omoguće nekome da u bazi podataka nekog pronađe i uhodi, uznemirava ili čak napadne“, rekao je Dijačenko.

„Ako su podaci ukradeni, mogli bi se suočiti sa uznemiravanjem, ponižavanjem, uhođenjem, iznudom, fišingom i drugim pretnjama, kako onlajn tako i oflajn”, rekao je on.

I korisnici i modeli bi trebalo da pripaze na ciljane fišing imejlove koje prevaranti mogu poslati predstavljajući se kao Stripchat, upozorio je Dijačenko. „Nikada ne klikćite na linkove ili priloge u neželjenim imejlovima“, kaže Dijačenko.

Rizik za privatnost i za korisnike i za modele postaje značajniji ako se izložene informacije uporede sa podacima procurelim u nekim drugim incidentima, tako da se napravi kompletan profil osobe.

„Podaci Stripchata, u stvari, ne otkrivaju mnogo ličnih informacija, i mislim da mnogi korisnici koji posećuju takve sajtove ne žele da navode svoje stvarne identitete, imejlove itd.“, rekao je Dijačenko. „Uglavnom koriste i VPN servise da sakriju svoje IP adrese”, rekao je on, dodajući da se ipak, mnoge od ovih informacija mogu uporediti sa drugim procurelim podacima, kao i da se mogu pojaviti neki dodatni podaci.

On je o svom otkriću obavestio Stripchat 5. novembra, putem imejla a zatim i preko Twittera. Iako kompanija nije direktno odgovorila na njegovo otkriće, on je rekao da su 7. novembra podaci zaštićeni bez objašnjenja šta se dogodilo.

Dijačenko kaže da sajtovi kao što je Stripchat treba da imaju jače bezbednosne prokole i da bar koriste protokole za reagovanje na incidente kada primaju ovakva upozorenja od bezbednosne zajednice.

Uprkos tome što je reč o velikom curenju podataka više od 65 miliona korisnika, StripChat tek treba da javno otkrije ili prizna incident, zbog kog bi kiparska kompanija mogla biti kažnjena velikom novčanom kaznom na osnovu GDRP-a, evropske Opšte uredbe o zaštiti podataka.