Das Jahr 2020 war in vielerlei Hinsicht eine Herausforderung. Aber nicht alles ist schlecht, einige Online-Unternehmen profitieren davon. Wie wir alle wissen, ist CAM4 eine umfassende globale Streaming-Website mit Live-Performances von Webcams für Erwachsene, ähnlich wie Bongacams und mehrere andere Wettbewerber.

Wie wir auch wissen, hat sich mit dem aktuellen Ausbruch des neuesten Coronavirus, SARS-CoV-2 (Coronavirus-Krankheit 2019), dessen Epizentrum sich in der Provinz Hubei in der Volksrepublik China befindet, auf viele andere Länder ausgebreitet. Am 30. Januar 2020 rief das WHO-Notfallkomitee einen globalen Gesundheitsnotstand aus, da die Zahl der gemeldeten Fälle in China und anderen Ländern anstieg. Das brachte neue Lebensgewohnheiten mit sich, und zu Hause zu bleiben war die Grundregel, die wir befolgen mussten, um zu versuchen, die rasche Ausbreitung, die in der ganzen Welt stattfand (und in einigen Ländern immer noch stattfindet), zu kontrollieren.

Zusätzlich zu diesem Thema hatte die CAM4 vor kurzem mit einem heiklen Problem zu kämpfen, das die persönlichen Daten ihrer Benutzer kompromittierte, umso mehr als sie aufgrund der Quarantäne einen großen Zustrom hatte.

Die Website ist CAM4, eine der bevorzugten Plattformen für Erwachsene, die „kostenlose Online-Sexkameras“ fördert. Im Rahmen einer Suche auf der Shodan-Engine nach ungesicherten Datenbanken entdeckten die Sicherheitsbeauftragten der Website Safety Investigators, dass CAM4 tatsächlich eine ElasticSearch-Produktionsdatenquelle falsch konfiguriert hatte, so dass es einfach war, Stapel von direkt identifizierbaren Informationen zusammen mit Geschäftsinformationen wie Betrügereien sowie Spam-Erkennung Protokollen zu finden und auch zu beobachten.

„Wenn sie ihren Webserver in der Produktion offen und ohne Passwort offen liegen lassen“, sagt der Forscher Anurag Sen von den Security Detectives, dessen Gruppe die undichte Stelle gefunden hat

ist das sowohl für die Kunden als auch für das Unternehmen wirklich gefährlich.

Zunächst einmal ein wirklich wesentlicher Unterschied hier: Es gibt keine Beweise dafür, dass CAM4 gehackt wurde oder dass auf die Datenbank von böswilligen Akteuren zugegriffen wurde. Das bedeutet nicht, dass es nicht so gewesen wäre, aber dies ist keine Design-Krise von Ashley Madison. Es ist der Unterschied, ob man die Tür des Banktresors weit offen lässt, was wirklich schlimm ist, oder ob Einbrecher das Geld wirklich mitnehmen, was noch viel schlimmer ist.

„Das Team kam ohne jeden Zweifel zu dem Schluss, dass absolut keine persönlich identifizierbaren Informationen, einschließlich Namen, Adressen, E-Mails, IP-Adressen oder Finanzdaten, von irgendjemandem außerhalb der Firma SafetyDetectives und der Firmenermittler von CAM4 missbräuchlich eingesehen wurden“

teilte die Firma in einer Erklärung mit.

Die Firma sagt auch, dass die tatsächliche Anzahl der Personen, die hätten ermittelt werden können, viel kleiner war als die auffällige Vielfalt der enthüllten Dokumente. Vergleichs- und auch Aus Zahlungsinformationen hätten 93 Personen – eine Mischung aus Darstellern und Kunden – bloßstellen können, wenn es zu einem Verstoß gekommen wäre, sagt Kevin Krieg, technischer Leiter von Smart-X, das sich um die Datenbank der CAM4 kümmert. Die Sicherheitsbeamten schätzen die Zahl auf „ein paar Hundert“.

Der von CAM4 begangene Fehler ist zudem kein Einzelfall. ElasticSearch-Webserver-Fauxpas waren tatsächlich die Quelle zahlreicher prominenter Datenlecks. Was im Allgemeinen passiert: Sie sind nur für den internen Gebrauch bestimmt, aber jemand macht einen Fehler in der Anordnung, der sie ohne Passwortschutz online lässt. „Es ist eine wirklich typische Erfahrung für mich, eine Menge aufgedeckter ElasticSearch-Instanzen zu sehen“, erklärt der Sicherheitsexperte Bob Diachenko, der über einen langen Hintergrund bei der Entdeckung aufgedeckter Datenbanken verfügt. „Die einzige Überraschung, die sich daraus ergab, sind die Daten, die diesem Moment ausgesetzt sind.

Und da liegt auch der Haken. Die Checkliste der Daten, die von CAM4 durchgesickert sind, ist alarmierend detailliert. Die von den Sicherheits Ermittlern gefundenen Produktionsprotokolle reichen bis zum 16. März dieses Jahres zurück; zusätzlich zu den oben genannten Informationskategorien enthielten sie ebenfalls Heimatland, Anmeldedaten, Fahrzeuginformationen, Sprachwahl, Benutzernamen, gehashte Passwörter sowie E-Mail-Dokumente zwischen Kunden und der Firma.