रिपोर्ट: वयस्क साइट में डेटा भंग सभी उपयोगकर्ताओं की गोपनीयता का समझौता करता है


Noam Rotem और Ran Locar द्वारा नेतृत्व में, vpnMentor की शोध टीम ने एक खोज की वयस्क साइट में डेटा भंग.

सुस्वाद एक आला अश्लील छवि साइट है जो मुख्य रूप से एनिमेटेड पर केंद्रित है, उपयोगकर्ता द्वारा अपलोड की गई सामग्री. हमारी टीम द्वारा किए गए शोध के आधार पर, साइट के पास है 1 मिलियन से अधिक पंजीकृत उपयोगकर्ता. प्रत्येक उपयोगकर्ता के पास एक प्रोफ़ाइल है, जिसका विवरण हमारे शोध के माध्यम से प्राप्त किया जा सकता है. 

निजी प्रोफ़ाइल उपयोगकर्ताओं को अपलोड करने, साझा करने, टिप्पणी करने और सुस्वाद पर सामग्री पर चर्चा करने की अनुमति देती है। यह सब कुछ समझ में आता है उपयोगकर्ता नाम के पीछे अपनी पहचान छिपाए रखते हैं.

डेटा हमारी टीम ने खोजा इस गुमनामी से समझौता करता है संभावित रूप से हैकर्स को अनुमति देता है अपने व्यक्तिगत ईमेल पते सहित, उपयोगकर्ताओं के व्यक्तिगत विवरण तक पहुँचें. सुस्वाद सामग्री की अत्यधिक संवेदनशील और निजी प्रकृति बनाती है उपयोगकर्ताओं को हमलों और शोषण की एक सीमा के लिए अविश्वसनीय रूप से कमजोर दुर्भावनापूर्ण हैकर्स द्वारा.

डिस्कवरी और ओनर रिएक्शन की समयरेखा

  • खोजा गया दिनांक: 15/08/19
  • दिनांक स्वामी से संपर्क किया गया: 16/08/19

डेटाबेस में प्रविष्टियों का उदाहरण

डेटा ब्रीच ने हमारी टीम को दिया 1.195 मिलियन उपयोगकर्ता खातों तक पहुंच सुस्वाद पर। इन सभी के साथ उपयोगकर्ताओं के व्यक्तिगत विवरणों का खुलासा करते हुए समझौता किया गया था संभावित विनाशकारी परिणाम. 

हमारे द्वारा देखे गए निजी व्यक्तिगत उपयोगकर्ता विवरण:

  • उपयोगकर्ताओं के नाम
  • व्यक्तिगत ईमेल पते
  • उपयोगकर्ता गतिविधि लॉग (दिनांक शामिल हुई, हाल ही में लॉग इन)
  • निवास / स्थान का देश
  • लिंग

कुछ उपयोगकर्ता ' ईमेल पते उनके भेद्यता को बढ़ाते हुए, उनके पूर्ण नामों को इंगित करते हैं शोषण और साइबर अपराध के लिए.

यह उल्लेखनीय है कि हम अनुमान लगाते हैं कि 20% सुस्वाद खातों पर साइन अप करने के लिए नकली ईमेल पतों का उपयोग किया जाता है. इससे पता चलता है कि कुछ सुस्वाद उपयोगकर्ता सक्रिय रूप से अतिरिक्त कदम उठा रहे हैं गुमनाम रहना. 

उपयोगकर्ता व्यवहार & क्रियाएँ

डेटा ब्रीच भी दिया उपयोगकर्ता की गतिविधियों का पूरा अवलोकन. यह हमें चीजों को देखने की अनुमति देता है:

  • जितने छवि एल्बम उन्होंने बनाए थे
  • वीडियो अपलोड 
  • टिप्पणियाँ 
  • वेबदैनिकी डाक
  • पसंदीदा
  • अनुयायियों और खातों का पालन किया
  • उनकी उपयोगकर्ता आईडी संख्या - इसलिए हम जान सकते हैं कि क्या वे सक्रिय हैं या प्रतिबंधित हैं

जबकि इस जानकारी में से कुछ अन्य उपयोगकर्ताओं के लिए दिखाई दे रही है, इसका अधिकांश भाग वेबसाइट के डेटाबेस में छिपा हुआ था. यह सब संयुक्त जानकारी है लोग कैसे सुस्वाद का उपयोग करते हैं, इसमें बहुमूल्य अंतर्दृष्टि पैदा करता है.

हमारी टीम भी देखने में सक्षम थी सुस्वाद पर प्रकाशित ब्लॉग पोस्ट और सामग्री का विवरण. इसमें लेखक के विवरण, पसंद की संख्या के साथ, प्रकाशित, श्रेणी आदि शामिल थे.

इनमें से कुछ ब्लॉग पोस्ट बेहद व्यक्तिगत थे - अवसादग्रस्तता या अन्यथा कमजोर सामग्री सहित - और गुमनाम रखा। इस डेटा ब्रीच के कारण, हालांकि, लेखकों की पहचान उजागर करने के साथ ब्लॉग पोस्ट अब गुमनाम नहीं हैं. 

इसी तरह, सुस्वाद में अपलोड की गई छवियों के लिए, हमने विस्तृत जानकारी के साथ चित्रों का एक सूचकांक प्राप्त किया, जिसमें उन्हें बनाया गया था.

रिपोर्ट: वयस्क साइट में डेटा भंग सभी उपयोगकर्ताओं की गोपनीयता का समझौता करता है

प्रभावित 1 मिलियन + उपयोगकर्ता दुनिया भर में स्थित हैं, उनके स्थानों के साथ भी पता चला है उल्लंघन में। हमारे शोध के दौरान, हम यूरोप, एशिया, ऑस्ट्रेलिया और अमेरिका से उपयोगकर्ता प्रोफाइल तक पहुँचने में सक्षम थे. 

उदाहरण के लिए, हमने डेटाबेस में लगभग 1.25% का प्रतिनिधित्व करते हुए, ".fr" में लगभग 13,000 ईमेल पते पाए। जीमेल जैसे ईमेल होस्टिंग का उपयोग करने वाले फ्रेंच लोगों की संख्या को देखते हुए - ".com" में समाप्त हो रहे हैं और फ्रेंच नामों के आधार पर हमने @ gmail.com पते पर देखा- हम अनुमान लगाते हैं कि फ्रांसीसी उपयोगकर्ताओं की संख्या लगभग 3 गुना अधिक होगी: लगभग 40,000.

नीचे Gmail पते और इसी तरह के आँकड़े पर विचार करते हुए, ईमेल पते और वास्तविक संख्याओं के हमारे अनुमानों के आधार पर, सुस्वाद उपयोगकर्ताओं के अंतर्राष्ट्रीय वितरण की रूपरेखा दी गई है।.

 देश DB में पाए गए ईमेल पतों के आधार पर उपयोगकर्ताओं का हमारा अनुमान
 फ्रांस   40,000
 नीदरलैंड  8000
 स्वीडन  6000
 जर्मनी  50,000
 स्पेन  7000
 रूस  35,000
 इजराइल  1,000
 इटली  18,000
 ब्राज़िल  10,000
 कनाडा  15,000
 ऑस्ट्रेलिया  5000
 पोलैंड  20,000
 जापान  6000
 भारत  6000

चिंता का एक बड़ा मुद्दा यह है कि कई उपयोगकर्ता आधिकारिक सरकारी ईमेल पर सुस्वाद में शामिल हुए. हमें इसके उदाहरण ब्राजील, ऑस्ट्रेलिया, इटली, मलेशिया और ऑस्ट्रेलिया के उपयोगकर्ताओं से मिले. 

डोमेन DB में पाए गए ईमेल पतों के आधार पर उपयोगकर्ताओं का हमारा अनुमान
.edu  एक हजार से भी कम
.gov  दर्जनों

यह अतिरिक्त का एक बड़ा सौदा जोड़ता है भेद्यता न केवल उपयोगकर्ताओं को, बल्कि उनके नियोक्ताओं को भी. कर्मचारी ईमेल पते तक पहुंच के साथ, अपराधी हैकर कई तरीकों से सरकारी एजेंसियों और विभागों को निशाना बना सकते हैं.

डेटा ब्रीच इम्पैक्ट

उपयोगकर्ताओं पर इस डेटा उल्लंघन का प्रभाव हो सकता है विनाशकारी, व्यक्तिगत और आर्थिक रूप से. सुस्वाद जैसी वयस्क साइटों पर गतिविधि है सबसे निजी प्रकृति में, और कोई भी कभी भी यह प्रकट होने की उम्मीद नहीं करता है.  

इसका एक्सपोजर हो सकता है एक पीड़ित के रिश्तों और व्यक्तिगत जीवन के लिए विनाशकारी. 

सुस्वाद डेटाबेस में उपलब्ध कराई गई जानकारी आपराधिक और दुर्भावनापूर्ण हैकर्स को अवैध लाभ और उपयोगकर्ताओं के शोषण के लिए इस डेटा का उपयोग करने के लिए कई विकल्प देता है. 

Doxing

डॉक्सिंग से तात्पर्य एक इंटरनेट की जांच करने की क्रिया से है उपयोगकर्ता की पहचान और इसे सार्वजनिक करने के लिए, आमतौर पर दुर्भावनापूर्ण इरादे से. सुस्वाद उपयोगकर्ताओं के ईमेल पते और स्थानों तक पहुँच के साथ, हैकर्स आसानी से कर सकते हैं सोशल मीडिया पर उनके प्रोफाइल का पता लगाएं और समान साइटें. 

इस जानकारी के साथ, एक सुस्वाद उपयोगकर्ता को वेबसाइट पर अपनी गतिविधि के लिए सार्वजनिक रूप से उजागर होने का खतरा है. वे हो सकते थे उत्पीड़न, धमकाने या साझा किए गए विवरण के लिए लक्षित उनके परिवार, दोस्तों और नियोक्ताओं के साथ. 

सुस्वाद पर सामग्री की प्रकृति को देखते हुए, इस तरह के अभियान के प्रभाव विनाशकारी हो सकते हैं. 

जबरन वसूली

एक बार जब एक सुस्वाद उपयोगकर्ता की पहचान से समझौता किया जाता है, तो उन्हें केवल बदमाशी से अधिक के लिए लक्षित किया जा सकता है. जब तक वे फिरौती नहीं देते, हैकर्स उपयोगकर्ताओं को बेनकाब करने की धमकी दे सकते थे. इस डेटा के उल्लंघन की संवेदनशील प्रकृति को देखते हुए, पीड़ित अविश्वसनीय रूप से असुरक्षित हैं और भुगतान करने की संभावना है. 

तथापि, फिरौती का भुगतान करने से आपके विवरण का पता नहीं चलता है, वैसे भी प्रकट नहीं होगा. एक बार जब यह डेटा चोरी हो जाता है, तो यह इस्तेमाल किया जा सकता है और बार-बार बेचा जाता है. यह उपयोगकर्ताओं के लिए खुला छोड़ देता है एक हैकर से जबरन वसूली, उनके सुस्वाद के लिए क्षमता के साथ गतिविधि अभी भी दूसरे द्वारा लीक की जा सकती है.

फिशिंग

फ़िशिंग से तात्पर्य सृजन से है पीड़ितों को नकल करने के लिए भेजे गए नकली ईमेल पासवर्ड या अन्य समझौता जानकारी प्रदान करना, वित्तीय खातों या क्रेडिट कार्ड तक पहुंच प्रदान करना और किसी डिवाइस पर मैलवेयर एम्बेड करना. 

एक हैकर या साइबरक्रिमिनल एक लक्ष्य को एक ईमेल भेजता है एक वैध व्यवसाय या संगठन की तरह दिखने के लिए जिसे पीड़ित पहले से उपयोग करता है, वांछित जानकारी निकालने या मालवेयर प्लांट करने के लिए. 

व्यक्तिगत विवरण जैसे ईमेल पते और स्थान का खुलासा करके, सुस्वाद डेटा ब्रीच अपराधियों को भविष्य के शोषण, धोखाधड़ी या चोरी के लिए उपयोगकर्ताओं को लक्षित करने में मदद करता है. वे इस जानकारी का उपयोग कर सकते हैं प्रभावी धोखाधड़ी वाले ईमेल बनाएं और उन्हें सीधे एक उपयोगकर्ता के ईमेल इनबॉक्स में भेजें - इस तरह, वे स्पैम और जंक मेल से भी बाहर खड़े रहते हैं.

प्रतियोगी क्रिया

यह डेटा ब्रीच भी सुस्वाद को कमजोर बनाता है. 1 मिलियन से अधिक उपयोगकर्ताओं और प्रति माह 20 मिलियन से अधिक विज़िट के साथ, यह है इसके आला के भीतर एक प्रमुख वेबसाइट. यह भी कोई संदेह नहीं है कि बहुत लाभदायक है. 

निजी जानकारी के साथ अब पता चला है, सुस्वाद 'प्रतियोगियों भी उपयोगकर्ता व्यवहार का विश्लेषण कर सकते हैं - उनके पसंदीदा, उन्हें क्या पसंद है, वे अन्य उपयोगकर्ताओं के साथ कैसे बातचीत करते हैं - और बेहतर विकल्पों के साथ उन्हें लक्षित करें. आमतौर पर, ऑनलाइन व्यवसाय यह सभी जानकारी सुरक्षित रूप से छिपाकर रखते हैं, क्योंकि यह उनके व्यवसाय मॉडल और राजस्व के लिए एक बड़ा जोखिम प्रस्तुत करता है.

विशेषज्ञों से सलाह

इस डेटा लीक से आसानी से बचा जा सकता था अगर सुस्वाद कुछ लिया था बुनियादी सुरक्षा उपाय. इन्हें किसी भी कंपनी द्वारा दोहराया जा सकता है, कोई फर्क नहीं पड़ता इसका आकार:

  1. अपने सर्वर सुरक्षित करें.
  2. उचित पहुँच नियम लागू करें.
  3. ऐसी प्रणाली को कभी न छोड़ें जिसके लिए इंटरनेट पर प्रमाणीकरण की आवश्यकता न हो.

उपयोगकर्ताओं के लिए

हम आपको सुझाव देते हैं तुरंत अपना सुस्वाद खाता विवरण बदलें, अपने उपयोगकर्ता नाम और संबंधित ईमेल पते सहित.  

वयस्क-थीम वाली वेबसाइटों या संवेदनशील प्रकृति की किसी भी अन्य वेबसाइटों के लिए, हमेशा अपने व्यक्तिगत ईमेल पते से पूरी तरह असंबंधित उपयोगकर्ता नाम बनाएँ या कोई अन्य ऑनलाइन खाता. 

यदि आपने सुस्वाद पर अपना स्थान प्रकट किया है, तो अपने प्रोफ़ाइल से इस विवरण को हटा दें। आप भी कर सकते हैं एक वीपीएन का उपयोग करके अपना स्थान बदलें.

सामान्य रूप से अपनी इंटरनेट गोपनीयता के बारे में अधिक जानने के लिए, और अपने जीवन और व्यवसाय में इस तरह के डेटा उल्लंघनों से कैसे बचें, इस गोपनीयता को पूरा करने के लिए हमारी पूरी जानकारी पढ़ें.

कैसे और क्यों हमने ब्रीच की खोज की

VpnMentor शोध टीम ने लुसियस के डेटाबेस में एक विशाल वेब मानचित्रण परियोजना के हिस्से के रूप में उल्लंघन की खोज की। हमारे हैकर्स विशेष रूप से आईपी ब्लॉक की जांच करने और कमजोरियों के लिए सिस्टम में खुले छेद का परीक्षण करने के लिए पोर्ट स्कैनिंग का उपयोग करते हैं। डेटा लीक होने के लिए वे प्रत्येक छेद की जांच करते हैं. 

जब उन्हें डेटा ब्रीच का पता चलता है, तो वे डेटाबेस की पहचान को सत्यापित करने के लिए विशेषज्ञ तकनीकों का उपयोग करें. फिर हम कंपनी को सतर्क करें भंग करने के लिए। यदि संभव हो, तो हम उल्लंघन से प्रभावित लोगों को भी सचेत करेंगे.

हमारी टीम इस डेटाबेस को एक्सेस करने में सक्षम थी क्योंकि यह पूरी तरह से असुरक्षित और अनएन्क्रिप्टेड था. 

कंपनी एक Elasticsearch डेटाबेस का उपयोग करती है, जो आमतौर पर URL के उपयोग के लिए डिज़ाइन नहीं किया गया है। हालाँकि, हम इसे ब्राउज़र के माध्यम से एक्सेस करने और किसी भी समय किसी भी इंडेक्स से स्कीमाटा को उजागर करने में URL खोज मानदंड में हेरफेर करने में सक्षम थे. 

इस वेब मैपिंग प्रोजेक्ट का उद्देश्य है सभी उपयोगकर्ताओं के लिए इंटरनेट को सुरक्षित बनाने में मदद करें. 

नैतिक हैकर के रूप में, हम किसी कंपनी को सूचित करने के लिए बाध्य हैं जब हमें उनकी ऑनलाइन सुरक्षा में खामियों का पता चलता है। यह विशेष रूप से सच है जब कंपनियों के डेटा उल्लंघन में ऐसी निजी जानकारी होती है.

हालाँकि, इन नैतिकताओं का यह भी अर्थ है कि हम जनता के प्रति एक जिम्मेदारी निभाते हैं. सुस्वाद उपयोगकर्ताओं को एक डेटा ब्रीच के बारे में पता होना चाहिए जो उन्हें भी प्रभावित करता है.

हमारे और पिछली रिपोर्ट के बारे में

vpnMentor दुनिया की सबसे बड़ी वीपीएन समीक्षा वेबसाइट है. हमारी अनुसंधान प्रयोगशाला एक समर्थक मुफ़्त सेवा है जो ऑनलाइन उपयोगकर्ताओं को अपने उपयोगकर्ताओं के डेटा की सुरक्षा पर संगठनों को शिक्षित करते समय साइबर खतरों से बचाव करने में मदद करने का प्रयास करती है। हमने हाल ही में 80 मिलियन अमेरिकी घरों को प्रभावित करने वाले एक विशाल डेटा ब्रीच की खोज की। हमने यह भी खुलासा किया कि बायोस्टार 2 में एक उल्लंघन ने 1 मिलियन से अधिक लोगों के बायोमेट्रिक डेटा से समझौता किया। आप हमारी वीपीएन लीक रिपोर्ट और डेटा गोपनीयता आँकड़े रिपोर्ट भी पढ़ना चाह सकते हैं.

Brayan Jackson Administrator
Candidate of Science in Informatics. VPN Configuration Wizard. Has been using the VPN for 5 years. Works as a specialist in a company setting up the Internet.
follow me
Like this post? Please share to your friends:
Leave a Reply

;-) :| :x :twisted: :smile: :shock: :sad: :roll: :razz: :oops: :o :mrgreen: :lol: :idea: :grin: :evil: :cry: :cool: :arrow: :???: :?: :!:

3 + 2 =

map