作为一个会员制的网络,PussyCash还拥有ImLive等成人网站品牌。然而本次数据泄露,已经曝光了超过87.5万个文件中的4000多组个人数据和相似性,表明其具有高风险的现实意义。
据悉,PussyCash托管了多个成人网站的会员计划,向网站管理员支付通过横幅广告发送到网站的进出站流量。
仅在网络聊天平台ImLive上,就拥有6600万的注册会员,更别提其它数十个网站了。由PussyCash官网可知,其合作伙伴包括BeNaughty、Xtube、Pornhub等。
有些时候,数据泄露的问题很容易被找到并封堵,但特例并不常见。更多情况下,有关方面需要经过数天的调查,才能了解到潜在的风险、并向受害者发去通知。
一开始,研究人员仅认定了ImLive存储桶中的几条记录被泄露。但最终,其发现PussyCam才是亚马逊S3存储服务器泄露数据的所有者。
发现事件:1月3日;
通知PussyCash与ImLive:1月4日;
亚马逊记录:1月7日;
ImLive答复:1月7;
采取行动:1月9日。
遗憾的是,PussyCash从未就本次数据泄露的联系尝试作出任何回应。好消息是,ImLive那边最终回了一封电子邮件,指出他们会妥善处理、并将信息传递给PussyCash技术团队。
目前已知至少有87.5万个不同类型的文件泄露,包括视频、营销材料、照片、视频聊天片段、屏幕截图、以及zip文件。老文件有15~前,最新的甚至可追溯到最近几周。
更糟糕的是,泄露数据中还包括了完整的护照和国民身份证的照片与扫描件,包括可见的全名、生日、出生地、公民身份、籍贯、护照/身份证件号码、护照签发日/有效期、注册性别、证件照、个人签名、父母全名、指纹等敏感信息。
专家指出,若PussyCash采取了一些基本的保障措施,则S3存储服务器的泄露事件就不会轻易发生。其建议企业对服务器施加适当的访问规则,用户也不应该轻易地将过多的身份验证信息提交至互联网系统使用。
