[English]Bei der Erotik-Live-Streaming-Website cam4.com gab es ein Datenleck. Über eine ungeschützte Datenbank waren über 10 Milliarden Datensätze mit persönlichen Nutzerdaten wie vollständiger Name, Telefonnummern, E-Mail-Adressen sowie Zahlungsprotokolle, Chats, Logs und vieles mehr einsehbar. Auch deutsche Benutzer sind da wohl fleißige Kunden.
Anzeige
Ich gestehe, mit sagte die Domain überhaupt nichts, aber der Anbieter scheint schon seit 2007 im Geschäft. Nun sind Sicherheitsforscher von Safety Detective bei der Suche im Web nach ungeschützten Daten auf eine 7 Terabyte große Datenbank gestoßen. Diese Datenbank enthält Protokolle ab dem 16. März 2020, wobei täglich neue Daten einlaufen. Die Datenbank wird hier der Live-Streaming-Website für Erwachsene, CAM4.com, zugeordnet. Die Webseite gehört zum irischen Unternehmen Granity Entertainment.
CAM4 ist eine "Cam Model"-Website mit Live-Streaming, die explizite Inhalte bietet, die nur für Erwachsene bestimmt sind. CAM4 wird vorwiegend von Amateur-Webcam-Darstellern verwendet. Dabei können die Kunden der Website virtuelle Token kaufen, mit denen sie die Darsteller für deren private Shows bezahlen. Berichten zufolge hat CAM4 seit seiner Gründung im Jahr 2007 mehr als 100 Millionen US-Dollar an Darstellerprovisionen ausgezahlt.
Die Surecom Corp-Verbindung
Die Ermittlung der Verantwortlichen war eine Art 'Hütchenspiel' für die Sicherheitsforscher. Nachdem diese die offene Datenbank entdeckten und cam4.com zuordnen konnten, informierten sie deren Verantwortliche. Das Sicherheitsteam erhielt eine prompte Antwort mit dem Ratschlag, sich an eine andere Firma namens Smart-X.net zu wenden und diese zu informieren.
Bei weiteren Nachforschungen stellte unser Team fest, dass beide Domains (CAM4.com und Smart-X.net) im Besitz der Muttergesellschaft Surecom Corp. sind. Es gibt verschiedene Firmen mit diesem Namen – eine ist auf einer niederländischen Karibikinsel angesiedelt. Der Server wurde in den Niederlande gehostet, die Muttergesellschaft hat ihren Sitz in Irland. Damit sollten die Anbieter der DSGVO unterliegen.
Das Datenleck
Der nicht abgesicherte Elastic-Search-Server mit seiner Datenbank wurde von Mojohost B.v in den Niederlanden gehostet und wies 7 Terabyte Daten auf. Nach Angaben der Sicherheitsforscher, die die Datenbank einsehen konnten, waren Millionen Datensätze mit sehr persönlichen Nutzerdaten ohne angemessene Sicherheitsmaßnahmen öffentlich einsehbar. Hier ein Auszug:
- Vor- und Nachnamen
- E-Mail-Adressen
- Herkunftsland
- Anmeldedaten
- Geschlechterpräferenz und sexuelle Orientierung
- Informationen zum verwendeten Gerät
- Diverse Benutzerdetails wie gesprochene Sprache
- Benutzernamen
- Zahlungsprotokolle einschließlich Kreditkartentyp, gezahlter Betrag und anwendbare Währung
- Benutzer-Konversationen
- Kopien der E-Mail-Korrespondenz
- Gespräche zwischen Benutzern
- Chat-Protokolle zwischen Benutzern und CAM4
- Token-Informationen
- Passwort-Hashes
- IP-Adressen
- Protokolle zur Betrugserkennung
- Spam-Erkennungsprotokolle
Insgesamt enthielt die Datenbank rund 11 Millionen Datensätze E-Mails, wobei einige Einträge mehrere E-Mail-Adressen von Benutzern aus mehreren Ländern aufwiesen. Die Sicherheitsforscher haben die nachfolgende Aufschlüsselung nach Ländern vorgenommen.
(Quelle: Safety Detective)
An der Spitze stehen die USA, Brasilien und Italien, gefolgt von Frankreich. Deutschland ist auch mit einer großen Anzahl an Datensätzen dabei. UAE, Saudi Arabien und Iran sind, wegen deren Zensurmaßnahmen, nicht vertreten – was erwartet war.
Das Sicherheitsteam entdeckte außerdem 26.392.701 Einträge mit Passwort-Hashes, wobei ein Teil der Hashes von CAM4.com-Benutzern und einige aus den Systemressourcen der Website stammten. Insgesamt fanden die Sicherheitsforscher "ein paar hundert Einträge" mit vollständigen Namen, Kreditkartentypen und Zahlungsbeträgen. Die Kombination aller drei Datenpunkt ist kritisch – da Zahlungsbeträge mit vollständiger Namensangabe ein größeres Sicherheitsrisiko darstellen. Die Leute sind erstens erpressbar und möglicherweise lassen sich solche Informationen für Betrügereien verwenden.
Anzeige
Im Artikel legen die Sicherheitsforscher nicht offen, ob die Datenbank inzwischen offline ist oder weiterhin ungeschützt per Internet erreicht werden kann. Jedenfalls dürfte das für Betroffene der GAU in Sachen Datenschutz und Privatsphäre sein. Wie der Fall datenschutzrechtlich aufgegriffen wird, ist mir aktuell unbekannt.
Ähnliche Artikel:
Android 'Datenschutz-Tresor'-Apps stehlen Daten und Fotos
Fettes Datenleck bei französischer Zeitung Le Figaro
Sicherheitsinformationen (28. Januar 2020)
Sicherheitsinfos: Datenlecks, Malware, Schwachstellen (23.4.)
Cashback-Seite verrät Benutzerdaten
Industrie-Kühlschränke mit Passwort 1234 abschaltbar
2015
"Über eine ungeschützte Datenbank waren über _10 Milliarden_ Datensätze mit persönlichen Nutzerdaten"
10 Milliarden? Na da hat sich entweder Günter vertippt oder die hauen mächtig auf den Putz.
In der Quelle heißt es 10.88 billion including personally identifiable information (PII)
Hier gibt es das offizielle Statement dazu von Cam4: https://cam4.de.com/magazin/cam4-reagiert-auf-vorwuerfe-von-sicherheitsverletzungen/
Wie es ausschaut, ist der Vorfall gerade nochmal gut gegangen – nur die Sicherheitsforscher hatten Zugriff – wenn die Verlautbarungen stimmen. Interessant ist vor allem, was im Statement nicht drin steht. Zum Beispiel: Ob und wann die zuständigen Datenschutzaufsichtsbehörden zeitnah informiert wurden etc.