Il noto Sito per adulti CAM4 è stato sfondato dagli hacker violando milioni di password degli utenti

È fin troppo comune per le aziende lasciare i database pieni di informazioni sensibili esposte alla grande Internet. Ma quando quella compagnia gestisce un servizio di livestream per adulti, e quei dati comprendono 7 terabyte di nomi, orientamenti sessuali, registri di pagamento e trascrizioni di e-mail e chat – su 10,88 miliardi di record in tutto – la posta in gioco è leggermente più alta.

Il sito è CAM4, una popolare piattaforma per adulti che pubblicizza “cam erotiche gratuite dal vivo”. Nell’ambito di una ricerca sul motore Shodan di database non garantiti, i siti di analisi della sicurezza Safety Detectives hanno scoperto che CAM4 aveva configurato erroneamente un database di produzione ElasticSearch in modo che fosse facile trovare e visualizzare un sacco di informazioni personali identificabili, nonché dettagli aziendali come frode e registri di rilevamento spam.

“Lasciando il loro server di produzione esposto pubblicamente senza password”, afferma Anurag Sen, ricercatore di Safety Detectives, il cui team ha scoperto la perdita, “è davvero pericoloso per gli utenti e per l’azienda”.

L’hack

Prima di tutto, distinzione molto importante qui: non ci sono prove che CAM4 sia stato violato o che al database abbiano avuto accesso attori malintenzionati. Ciò non significa che non lo fosse, ma questo non è un tracollo in stile Ashley Madison .

È la differenza tra lasciare la porta del caveau della banca spalancata (male) e i ladri che rubano i soldi (molto peggio).

Anche l’errore commesso da CAM4 non è unico. Le sciocchezze del server ElasticSearch sono state la causa di innumerevoli perdite di dati di alto profilo .

Cosa succede di solito: sono destinati esclusivamente all’uso interno, ma qualcuno commette un errore di configurazione che lo lascia online senza protezione tramite password.

“È un’esperienza molto comune per me vedere molte istanze di ElasticSearch esposte”, afferma il consulente per la sicurezza Bob Diachenko, che ha una lunga storia nella ricerca di database esposti. “L’unica sorpresa che ne è derivata sono i dati esposti questa volta.”

E c’è il problema. L’elenco dei dati trapelati da CAM4 è allarmante. I registri di produzione rilevati dai rilevatori di sicurezza risalgono al 16 marzo di quest’anno; oltre alle categorie di informazioni sopra menzionate, includevano anche il paese di origine, le date di registrazione, le informazioni sul dispositivo, le preferenze di lingua, i nomi utente, le password con hash e la corrispondenza e-mail tra gli utenti e l’azienda.

Dei 10,88 miliardi di record trovati dai ricercatori, 11 milioni contenevano indirizzi e-mail, mentre altri 26.392.701 avevano hash di password sia per gli utenti CAM4 che per i sistemi di siti Web.

Alcune centinaia di voci includevano nomi completi, tipi di carta di credito e importi di pagamento. Un messaggio di WIRED inviato a un portale online CAM4 è rimasto senza risposta.

Chi è interessato?

Difficile dirlo con esattezza, ma l’analisi dei rilevatori di sicurezza suggerisce che circa 6,6 milioni di utenti statunitensi di CAM4 facevano parte della perdita, insieme a 5,4 milioni in Brasile, 4,9 milioni in Italia e 4,2 milioni in Francia.

Non è chiaro fino a che punto la perdita abbia influenzato sia gli artisti che i clienti.

Ancora una volta, non vi è alcuna indicazione che i cattivi attori abbiano attinto a tutti quei terabyte di dati. E

Sen afferma che la società madre di CAM4, Granity Entertainment, ha portato il server problematico offline entro mezz’ora dal contatto con i ricercatori. Ciò non scusa l’errore iniziale, ma almeno la risposta è stata rapida.

Inoltre, nonostante la natura sensibile del sito e dei dati coinvolti, in realtà era abbastanza difficile collegare informazioni specifiche a nomi reali.

“Devi davvero scavare nei registri per trovare token o qualsiasi cosa che ti connetta alla persona reale o qualsiasi cosa che possa rivelare la sua identità”, dice Diachenko. “Non avrebbe dovuto essere esposto online, ovviamente, ma direi che non è la cosa più spaventosa che abbia mai visto.”

Quanto è cattivo?

Il che non vuol dire che tutto vada bene. Se qualcuno avesse dovuto scavare, avrebbe potuto scoprire abbastanza su una persona, comprese le preferenze sessuali, da ricattarla potenzialmente.

A un livello più banale, gli utenti CAM4 che riutilizzano le loro password sarebbero a rischio immediato per attacchi di riempimento delle credenziali , esponendo potenzialmente qualsiasi account in cui non usano credenziali uniche e forti.

Oppure considera l’inverso: se hai l’indirizzo e-mail di un utente CAM4, dice Sen, c’è una buona possibilità di trovare una password associata da una precedente violazione dei dati e accedere al loro account.

I dati nella perdita avrebbero potuto potenzialmente mettere a rischio anche CAM4; informazioni privilegiate sul rilevamento di frodi e spam avrebbero fornito ai potenziali aggressori una road map per aggirare quelle difese.

Perdite di dati accadono. Non sono così gravi come le violazioni, ma con informazioni così sensibili, spetta alle aziende prendere ogni precauzione per proteggerle, non il minimo indispensabile.