研究人員在網上發現了一個包含大量用戶和模特敏感信息的數據庫，沒有做任何保護。此次數據的泄露使得模特和用戶面臨著被敲詐和被恐嚇等風險。

　　Stripchat是一個目前很流行的網站，成立于2016年，總部設在塞浦路斯，主要是做人體模特相關的業務。

　　安全機構的研究人員報告說，他在11月5日在一個Elasticsearch集群上發現了這個數據庫。該數據庫包含了約2億條Stripchat記錄，其中包括6500萬條用戶記錄，包含了電子郵件地址、IP地址、他們給模特的小費金額、賬戶創建時間和最后一次活動的時間戳等信息。

　　另一個數據庫包含了大約42.1萬條該平臺模特的記錄，包括他們的用戶名、性別、工作室ID、小費菜單、直播狀態。

　　目前還不清楚，在11月7日數據庫被保護起來之前，是否已經有攻擊者進入到了數據庫。

　　數據被暴露所帶來的威脅

　　這些數據的曝光可能會對Stripchat的用戶和模特造成重大的隱私風險，如果數據被盜，他們可能會面臨著被騷擾、羞辱、跟蹤、勒索、網絡釣魚和其他威脅。

　　該網站的用戶和模特信息也很可能被用于有針對性的網絡釣魚攻擊活動。

　　安全研究人員警告說，受害者應該警惕那些來自于冒充Stripchat或相關公司的有針對性的網絡釣魚郵件。千萬不要點擊未經驗證的電子郵件中的鏈接或附件。

　　如果暴露的信息再結合用戶的其他行為，那么用戶和模特的隱私風險就會變得更加嚴重，此時，一個人完整的輪廓就會被描繪出來。實際上，Stripchat數據庫中的數據，并沒有泄露太多個人的真實信息，我感覺很多訪問此類網站的用戶不會使用他們的真實身份、電子郵件等，他們也大多會使用VPN服務，隱藏他們的IP地址。盡管如此，這些信息很多都可以與其他被泄露的信息進行結合匹配，我們還可以發現很多其他的信息。

　　11月5日，Stripchat收到了數據被曝光的通知，通過電子郵件和Twitter的多個聯絡點和安全人員進行了及時的溝通。雖然該公司沒有直接回應安全公司的披露，但他說，截至11月7日，數據是安全的。

　　像Stripchat這樣的網站應該有更強的安全防范措施，在收到安全社區發出的這樣的警報時，至少要及時采取安全應急響應措施。

　　小心淫穢釣魚網站攻擊

　　根據GreatHorn去年夏天發表的研究報告，淫穢網絡釣魚誘餌正越來越多地被用于商業電子郵件入侵（BEC）攻擊活動中。該公司發現，使用淫穢材料進行的社交工程攻擊驚人地上升了974%，這些材料大多會針對那些名字聽起來像是男性的員工進行攻擊。

　　根據該報告，它并不會使用具體的材料進行欺騙，其目的是使用戶失去心理平衡，受到驚嚇。任何興奮的情緒，都會降低大腦做出理性決定的能力。

　　當前的大流行病對于像Stripchat這樣的網站來說是一個好消息。該公司表示，在大流行病發生和封鎖之后，該平臺的流量上升了72%，并在2020年增加了906,181,416名新用戶。

　　但是，隨著這些平臺的用戶增加，它們成為了更大的攻擊目標。

　　云端信息被泄漏的現象一直存在

　　Stripchat成為了眾多云端信息泄漏公司中的一個，VIP游戲公司在2021年初暴露了66000名用戶的用戶數據。約會網站，甚至是Hobby Lobby，都由于錯誤的配置受到了網絡攻擊。并且這不僅僅是在私營部門。去年夏天，Diachenko發現了一個暴露的Elasticsearch集群，其中就包含了190萬條用戶名單記錄。

　　當涉及到面向公眾的云存儲時，安全研究人員呼吁企業需要做更多的工作來保護他們的數據。

　　無論是由于公共云的配置錯誤還是暴露在互聯網上的任何服務的漏洞，信息泄露是一個很大的問題。企業需要持續監測部署在企業中的所有資源，盡量減少這種信息暴露的風險。這種記錄可以在暗網中出售，或用于進一步的攻擊。