近日曝光的PussyCash數(shù)據(jù)泄露事件？

由 Noam Rotem 和 Ran Locar 領(lǐng)導(dǎo)的網(wǎng)絡(luò)安全研究小組，在 PussyCash 位于弗吉尼亞州的亞馬遜存儲(chǔ)服務(wù)器上發(fā)現(xiàn)了一個(gè)泄露源，其中包含了 19.95GB 的可見(jiàn)數(shù)據(jù)。

作為一個(gè)會(huì)員制的網(wǎng)絡(luò)，PussyCash 還擁有 ImLive 等成人網(wǎng)站品牌。然而本次數(shù)據(jù)泄露，已經(jīng)曝光了超過(guò) 87.5 萬(wàn)個(gè)文件中的 4000 多組個(gè)人數(shù)據(jù)和相似性，表明其具有高風(fēng)險(xiǎn)的現(xiàn)實(shí)意義。

據(jù)悉，PussyCash 托管了多個(gè)成人網(wǎng)站的會(huì)員計(jì)劃，向網(wǎng)站管理員支付通過(guò)橫幅廣告發(fā)送到網(wǎng)站的進(jìn)出站流量。

僅在網(wǎng)絡(luò)聊天平臺(tái) ImLive 上，就擁有 6600 萬(wàn)的注冊(cè)會(huì)員，更別提其它數(shù)十個(gè)網(wǎng)站了。由 PussyCash 官網(wǎng)可知，其合作伙伴包括 BeNaughty、Xtube、Pornhub 等。

有些時(shí)候，數(shù)據(jù)泄露的問(wèn)題很容易被找到并封堵，但特例并不常見(jiàn)。更多情況下，有關(guān)方面需要經(jīng)過(guò)數(shù)天的調(diào)查，才能了解到潛在的風(fēng)險(xiǎn)、并向受害者發(fā)去通知。

一開(kāi)始，研究人員僅認(rèn)定了 ImLive 存儲(chǔ)桶中的幾條記錄被泄露。但最終，其發(fā)現(xiàn) PussyCam 才是亞馬遜 S3 存儲(chǔ)服務(wù)器泄露數(shù)據(jù)的所有者。

發(fā)現(xiàn)事件：2020 年 1 月 3 日；

通知 PussyCash 與 ImLive：2020 年 1 月 4 日；

亞馬遜記錄：2020 年 1 月 7 日；

ImLive 答復(fù)：2020 年 1 月 7；

采取行動(dòng)：2020 年 1 月 9 日。

遺憾的是，PussyCash 從未就本次數(shù)據(jù)泄露的聯(lián)系嘗試作出任何回應(yīng)。好消息是，ImLive 那邊最終回了一封電子郵件，指出他們會(huì)妥善處理、并將信息傳遞給 PussyCash 技術(shù)團(tuán)隊(duì)。

目前已知至少有 87.5 萬(wàn)個(gè)不同類(lèi)型的文件泄露，包括視頻、營(yíng)銷(xiāo)材料、照片、視頻聊天片段、屏幕截圖、以及 zip 文件。老文件有 15~20 年前，最新的甚至可追溯到最近幾周。

更糟糕的是，泄露數(shù)據(jù)中還包括了完整的護(hù)照和國(guó)民身份證的照片與掃描件，包括可見(jiàn)的全名、生日、出生地、公民身份、籍貫、護(hù)照 / 身份證件號(hào)碼、護(hù)照簽發(fā)日 / 有效期、注冊(cè)性別、證件照、個(gè)人簽名、父母全名、指紋等敏感信息。

專(zhuān)家指出，若 PussyCash 采取了一些基本的保障措施，則 S3 存儲(chǔ)服務(wù)器的泄露事件就不會(huì)輕易發(fā)生。其建議企業(yè)對(duì)服務(wù)器施加適當(dāng)?shù)脑L(fǎng)問(wèn)規(guī)則，用戶(hù)也不應(yīng)該輕易地將過(guò)多的身份驗(yàn)證信息提交至互聯(lián)網(wǎng)系統(tǒng)使用。