Le site de webcams sexuelles Stripchat expose des informations sur les utilisateurs et les modèles sur le Web : rapport

MISE À JOUR : 15 novembre 2021–Stripchat a maintenant a reconnu un incident de violation . En plus de poursuivre leur enquête sur l'incident, ils déclarent qu'ils communiquent également avec les autorités de protection des données afin de réduire tout préjudice potentiel.

L’équipe de recherche en cybersécurité de Comparitech dirigée par Bob Diachenko a découvert une base de données exposée qui semble appartenir au site de webcams en direct Stripchat.

La base de données exposée fait plusieurs références à Stripchat et comprend près de 200 millions d'enregistrements. Les données exposées incluent les adresses e-mail, les noms d’utilisateur et les adresses IP, entre autres informations, apparemment sur les utilisateurs et les modèles du site.

Comparitech a découvert la base de données exposée et a alerté Stripchat le 5 novembre 2021, conformément à notre politique de divulgation responsable. La base de données a été sécurisée deux jours plus tard.

Cette exposition pourrait poser un risque important pour la vie privée des téléspectateurs et des modèles de Stripchat. Si les données étaient volées, ils pourraient être victimes de harcèlement, d’humiliation, de traque, d’extorsion, de phishing et d’autres menaces en ligne et hors ligne.

Notre processus habituel consiste à contacter la partie concernée afin qu'elle puisse enquêter sur l'incident et prendre les mesures appropriées, notamment en informant les utilisateurs concernés.

Nous avons contacté Stripchat à plusieurs reprises par e-mail et sur Twitter, mais Stripchat n'a pas répondu ni reconnu notre divulgation ou nos demandes de commentaires au moment de la publication.

Chronologie de l'exposition

La base de données était accessible sur Internet sans mot de passe ni aucune autre authentification requise. Voici ce que nous savons qui s’est passé :

• 4 novembre 2021 – La base de données a été indexée par les moteurs de recherche.
• 5 novembre 2021 – Diachenko a découvert la base de données, déterminé le propriétaire et envoyé une alerte à Stripchat conformément à notre politique de divulgation responsable.
• 7 novembre 2021 – La base de données n'était plus disponible.

Nous ne savons pas combien de temps la base de données a été exposée avant d'être indexée par les moteurs de recherche. Notre expériences de pots de miel montrent que les attaquants peuvent trouver et accéder à des bases de données non protégées en quelques heures.

Quelles informations ont été exposées ?

Le cluster Elasticsearch contenait environ 200 millions d'enregistrements au total, composés de plusieurs bases de données :

Une base de données utilisateur contenant environ 65 millions d'enregistrements, chacun contenant tout ou partie des informations suivantes :

• Adresse e-mail
• Nom d'utilisateur
• adresse IP
• fournisseur de services Internet
• Solde des pourboires
• Horodatage de création du compte
• Horodatage de la dernière activité
• Statut bloqué

Une base de données modèle d'environ 421 000 enregistrements, chacun contenant tout ou partie des informations suivantes :

• Nom d'utilisateur
• Genre
• Identifiant du studio
• Statut en direct
• Conseils menus et prix
• Partition de bande

Une base de données de transactions d'environ 134 millions d'enregistrements contenant des informations sur les jetons et les pourboires payés par les utilisateurs aux modèles, y compris les pourboires privés.

Une base de données de modération d'environ 719 000 messages de discussion envoyés aux modèles, y compris des messages privés et publics. Chaque enregistrement contient l'ID utilisateur de l'utilisateur qui a envoyé le message.

Dangers des données exposées

Cette exposition pourrait constituer une menace numérique et physique à la fois pour les téléspectateurs et les modèles de Stripchat. Les adresses IP, qui peuvent être utilisées pour se rapprocher de la localisation d’une personne, sont particulièrement préoccupantes. Ils pourraient permettre à quelqu’un de trouver et de traquer, de harceler ou même d’agresser quelqu’un dans la base de données.

Outre la violence physique, les informations d'identification pourraient être utilisées pour extorquer, intimider ou humilier des victimes qui pensaient que leurs activités en ligne étaient privées.

Enfin, les victimes doivent être à l’affût des e-mails de phishing ciblés provenant de fraudeurs se faisant passer pour Stripchat ou une société liée. Ne cliquez jamais sur les liens ou les pièces jointes dans les e-mails non sollicités.

À propos de Stripchat

Stripchat est un site Web réservé aux adultes proposant des performances par webcam en direct, généralement de nudité ou d'activité sexuelle. La société a été fondée en 2016 et est constituée à Chypre.

Un article de blog de l'entreprise note que Stripchat a vu un Augmentation de 72 pour cent du trafic en 2020 suite au début de la pandémie de Covid-19, avec plus de 900 millions de nouveaux utilisateurs et 300 000 nouveaux modèles.

Les utilisateurs n'ont pas besoin de créer un compte pour voir les caméras publiques, mais un compte est requis pour donner un pourboire, discuter ou rendre une session privée.

Pourquoi nous avons signalé cet incident

L’équipe de recherche en cybersécurité de Comparitech recherche régulièrement sur le Web des bases de données non sécurisées contenant des informations personnelles identifiables sur les utilisateurs. Lorsque nous trouvons un serveur non protégé, nous lançons immédiatement une enquête pour savoir à qui il appartient, qui pourrait être affecté et les conséquences potentielles pour les utilisateurs finaux.

Après avoir vérifié l’identité du responsable, nous l’alerterons selon notre politique de divulgation responsable. Une fois les données sécurisées et notre enquête terminée, nous publions un article comme celui-ci pour sensibiliser à la cybersécurité et réduire les dommages causés aux utilisateurs finaux.

Rapports d'incidents de données précédents

Comparitech a publié plusieurs rapports d'incidents de données similaires à celui-ci :

• Les informations personnelles de 106 millions de visiteurs internationaux en Thaïlande exposées en ligne
• Les données personnelles de 35 millions de résidents américains exposées sur le Web
• L'agence indienne des visas expose 6 500 demandes de visa de voyageur sur le Web
• Le service téléphonique de la prison Telmate expose les messages et les informations personnelles de millions de détenus
• Un courtier de données sur les réseaux sociaux expose près de 235 millions de profils supprimés
• 42 millions de numéros de téléphone et d’identifiants d’utilisateurs iraniens « Telegram » ont été piratés
• Les détails de près de 8 millions d’achats en ligne au Royaume-Uni ont été divulgués
• 250 millions de dossiers de support client Microsoft ont été exposés en ligne
• Plus de 260 millions d'identifiants Facebook ont ​​été publiés sur un forum de hackers
• Près de 3 milliards d'adresses e-mail ont été divulguées, dont beaucoup avec les mots de passe correspondants
• Des informations détaillées sur 188 millions de personnes étaient conservées dans une base de données non sécurisée