Site de streaming de nudez via câmeras deixou servidor na Holanda exposto e sem senha; ali estavam guardadas informações de usuários. A exposição total foi de 7 terabytes
Quase 11 bilhões de arquivos estiveram totalmente expostos on-line pelo Cam4.com, um site da empresa irlandesa Granity Entertainment, onde estrelas amadoras desfilam sua nudez diante de webcams dentro de suas casas. Essas ‘estrelas’, do mundo inteiro, ganham dinheiro exibindo-se para fãs também do mundo inteiro e os dados relativos aos clientes é que estiveram expostos.
A descoberta foi feita pelos pesquisadores do portal Safety Detectives, liderados por Anurag Sen. O site é especializado na análise de soluções antivírus. O tamanho do banco de dados do servidor descoberto tinha mais de sete terabytes, com registros de produção datados de 16 de março de 2020 e aumentando diariamente.
O material era um banco de dados não seguro do Elastic Search, com grande quantidade de informações de usuários e de empresas. A maioria dos registros se refere a usuários nos EUA: 6,55 milhões de registros. Mas o país que vem logo atrás é o Brasil, com 5,7 milhões de registros. Depois que a empresa foi informada, o servidor foi protegido.
Conteúdo pada adultos
O CAM4 é um site de transmissão ao vivo, que fornece conteúdo explícito destinado apenas a adultos. Ele é usado predominantemente por artistas amadores que se exibem em webcams. Os clientes e fãs precisam adquirir ‘tokens’, as moedas do site, para dar dicas aos artistas ou assistir a shows particulares. De acordo com o noticiário de negócios, o CAM4 pagou mais de US $ 100 milhões em comissões a esses ‘artistas’ desde a sua criação, em 2007.
Veja isso
Pornografia japonesa contaminada com malware
Tor acusado de ‘conspiração’ em pornografia
O servidor foi descoberto por meio de buscas no Shodan, o mecanismo de busca da IoT. Ele está nos Países Baixos, onde é hospedado pela empresa Mojohost Bv. Estas as as categorias de informações disponíveis:
- Nome e sobrenome
- Endereço de e-mail
- País de origem
- Datas de inscrição
- Preferência de gênero e orientação sexual
- Informação de dispositivo
- Detalhes diversos do usuário, como idioma falado
- Nomes de usuário
- Logs de pagamentos, incluindo tipo de cartão de crédito, valor pago e moeda aplicável
- Conversas com usuários
- Transcrições de correspondência por email
- Conversas entre usuários
- Transcrições de bate-papo entre usuários e CAM4
- Informações do token
- Hash de senha
- Endereços IP
- Logs de detecção de fraude
- Logs de detecção de spam
Os logs revelam informações de senha do usuário. A contagem de e-mails excedeu vários milhões, embora o número exato não pudesse ser medido com precisão devido a repetições. Segundo a equipe de pesquisa, um grande volume de e-mails foi proveniente dos principais domínios de e-mail como gmail.com, icloud.com e hotmail.com.
Usuários norte-americanos, brasileiros e italianos foram os mais afetados, embora o número exato de registros de e-mail seja difícil de avaliar com precisão devido à duplicação de entradas. Países como os Emirados Árabes Unidos, Arábia Saudita e Irã tiveram zero entradas, já que nesses países o conteúdo adulto é proibido. A equipe de segurança descobriu também nomes completos, tipos de cartão de crédito e valores de pagamento.
Não ficou claro para os pesquisadores a quem as informações se referem – se aos ‘artistas’ ou aos visualizadores de conteúdo.
Com agências internacionais
