Gegevens gebruikers webcamsite Stripchat waren toegankelijk zonder wachtwoord

Een grote database met gegevens van gebruikers van webcamsite Stripchat is ontdekt door beveiligingsonderzoekers en was een paar dagen toegankelijk zonder wachtwoord. De database bevat onder andere gebruikersnamen, e-mailadressen, ip-adressen en saldo.

De database werd ontdekt op 5 november door onderzoekers van het securitybedrijf Comparitech. De database bevat meer dan 200 miljoen records met gegevens van gebruikers. Het ging om een Elasticsearch-cluster die kon worden gevonden met zoekmachines. De databank was niet beveiligd met een wachtwoord.

Het is niet bekend of de database door meer externen is gevonden. De onderzoekers schrijven dat de database op 4 november is geïndexeerd door zoekmachines en mogelijk door meer mensen is gevonden. Comparitech heeft Stripchat geïnformeerd na de ontdekking van het lek en het bedrijf heeft de database op 7 november offline gehaald.

Naast data van gebruikers was ook informatie van modellen zichtbaar. Naast gebruikersnaam en geslacht waren ook fooibedragen zichtbaar. Daarnaast is er ook een database met chatberichten gevonden, met daarin meer dan 700.000 berichten gekoppeld aan gebruikers-id's.

Naar eigen zeggen heeft Stripchat meer dan 100 miljoen gebruikers per maand. Bij de site zijn honderdduizenden modellen aangesloten.

Door Robert Zomers

Redacteur

Feedback • 16-11-2021 17:5140

16-11-2021 • 17:51

40 Linkedin

Lees meer

Webhoster GoDaddy meldt diefstal van klantgegevens en adminwachtwoorden Nieuws van 22 november 2021
Crimineel buitte kwetsbaarheid e-mailsysteem FBI uit en stuurde massaal hoaxmail Nieuws van 14 november 2021
Gegevens van zeven miljoen mensen zijn gestolen bij Robinhood-hack Nieuws van 9 november 2021
Crimineel steelt 'honderdduizenden' cv's bij sollicitatieplatform Homerun Nieuws van 9 november 2021
Vijf verdachten gelinkt aan REvil zijn gearresteerd bij internationale operatie Nieuws van 9 november 2021
Webcontentfilter voor alle Microsoft Enterprise-gebruikers beschikbaar gemaakt Nieuws van 29 oktober 2021
Gegevens van miljoen QuickFox VPN-klanten waren toegankelijk zonder wachtwoord Nieuws van 19 oktober 2021
Meer producten en artikelen
Networking en security

Reacties (40)

-Moderatie-faq
40
38
23
4
0
4
Wijzig sortering
satya
16 november 2021 20:10
Gevonden via elasticsearch?

Roept hier toch vragen op.
michiel_
@satya16 november 2021 20:25
Viel mij ook al op, foutje van de Tweakers redactie lijkt me.
De database in kwestie is een ElasticSearch cluster, te lezen in de bron: https://www.comparitech.c...rity/stripchat-data-leak/
HakanX
@michiel_17 november 2021 03:25
Interessante regel in de gebruikerstabel:
"IsDeleted": false (of true)
Ipv de gebruiker daadwerkelijk te verwijderen, wordt het dus alleen verborgen.
Giesber
@HakanX17 november 2021 09:32
Ik weet niet hoe het uiteindelijk in de wetteksten gekomen is, maar dat was een heikel punt toen de GDPR wetten gemaakt werden. Als een gebuiker zijn data verwijderd wil hebben, moet die dan functioneel verwijderd worden (niemand behalve een technisch capabel persoon met kennis van het systeem kan er bij), of moet die echt letterlijk overal verwijderd worden?

Dat laatste heeft nogal verregaande en grote gevolgen: als je als bedrijf backups maakt van e-mails, moet je dus al die backups verwijderen als iemand zijn data laat verwijderen. Wordt een bestand met die backups meegenomen in een algemene backup met bijvoorbeeld de ganse boekhouding in? Dan moet dat ook vernietigd worden. En wat doe je met data die achterblijft op een SSD op een server? In principe beslist de controller van die SSD wanneer welke sector overschreven wordt, en kan je dus geen data fysiek gaan verwijderen. Moet een bedrijf dan maar alle SSD's in hun servers weggooien als iemand zijn gegevens laat verwijderen, omdat men niet kan garanderen dat die data echt verwijderd is?

Hier is het een geval van software, maar ik ken wel enkele softwaresystemen waarbij de gebruiker zo centraal staat dat je die niet zomaar dat record kan weggooien. Om zoiets te omzeilen kan men dan een isDeleted veld introduceren. Je kan bij het invoeren van een nieuwe wet niet gaan verwachten dat sommige bedrijven hun volledige software opnieuw moeten gaan schrijven.
Argantonis
@HakanX17 november 2021 06:07
Interessante regel in de gebruikerstabel:

[...]

Ipv de gebruiker daadwerkelijk te verwijderen, wordt het dus alleen verborgen.
Ik weet natuurlijk niet waarom zij het doen, maar heel vreemd is dat niet. Het kan bijvoorbeeld lastig zijn om meteen alle data weg te gooien, maar je moet wel meteen zorgen dat iemand niet meer kan inloggen. Een boolean omzetten om later scheduled dingen op te ruimen kan best logisch zijn. Of er is een grace periode waarin mensen die spijt hebben van het verwijderen toch hun account kunnen herstellen.

Als dit langer dan zeg een maand bewaard blijft is het wel erg dubieus.
air2
@Argantonis17 november 2021 08:33
Als hier financiele gegevens aan gekoppeld zijn, kan de bewaartijd zo maar een jaar zijn of nog langer. Welke gegevens precies bewaard moeten blijven en welke weg moeten, kan ook zomaar per land verschillen. Aan het bestaan van zo'n boolean flag kun je dat niet aflezen, en ook de conclusie dat dat maar 1 maand zou moeten zijn is wat kort door de bocht.
GewoonWatSpulle
@HakanX17 november 2021 08:19
Dat is hoe de meeste systemen werken die ik de afgelopen 12 jaar voorbij heb zien komen. Pas recent een systeem uitgerust met daadwerkelijke recht op vergetelheid optie, bij de meeste systemen is dat nog gewoon handwerk.
satya
@michiel_16 november 2021 20:59
Dan snap ik het, zal vast geen wachtwoord op gezeten hebben en aan het www gehangen hebben, ik zie het op de website van je reactie. Dankjewel.
GekkePrutser
@satya16 november 2021 22:51
Ja ik denk eerder dat ze shodan bedoelen.
GertMenkel
16 november 2021 18:07
Het blijft altijd maar weer een risico, accounts op pornosites. Ik hoop dat de klanten en modellen van deze website zich vooral bevinden in gebieden waar dit soort dingen legaal zijn, want het zou niet de eerste keer zijn dat een criminele bende sekswerkers en hun klanten gaat zitten chanteren.

Ongelofelijk dat een website met zulke gevoelige informatie zo'n stomme fout kan maken. Helemaal voor een bedrijf dat blijkbaar groot genoeg is om in de "echte" wereld te adverteren.

Ik ben benieuwd of dit ook een impact heeft op hun "Sexuality Resource Center", dat vooral voor seksuele opvoeding bedoeld lijkt te zijn (aldus Wikipedia). Ik hoop dat dat toch in een aparte, beter beveiligde database zit.
Jism
@GertMenkel16 november 2021 23:52
Het hangt er vanaf hoe de website is gebouwd. Veel eigenaren van zulke websites laten zo'n platform 1 keer bouwen, en gaan er maar vanuit dat alles goed werkt en toestanden.

Realiteit is is dat dit jaren niet meer onderhouden wordt, laat staan getest wordt op enige lekken of security risks, en het een kwestie van tijd is voordat het wel aangepakt wordt.

Investeren in goede security (hardening) is 1, ook de server fatsoenlijk beveiligen is eigenlijk nog belangrijker. Je kunt het e.a afschermen maar als je bij een commercieele host dit doet of draait, tja.

Het is niet voor niets dat de grotere websites wel natuurlijk tijd en geld steken in decent security. Ik bouw zelf ook dit soort slag websites, en vertrouw niets wat een gebruiker naar de website sturen kan.
adje123
16 november 2021 17:58
In this day en age ga je toch niet lid worden van zo'n site?
De vraag is niet of je gegeven lekken, maar wanneer ze lekken.
kodak
@adje12316 november 2021 18:03
Dat kan je dan net zo goed bij iedere site wel stellen, want feitelijk is het niets anders dan een bedrijf dat persoonsgegevens verwerkt voor dienstverlening en handel.
adje123
@kodak16 november 2021 18:07
Dit lijkt mij niet een site waarmee je in het openbaar geassocieerd wil worden.
Daarnaast, als jouw gegevens bij criminelen terecht komen en ze achterhalen jouw identiteit, dan is dit een prima chantagemiddel als je een gezin hebt waarvan vrouwlief denkt dat je alleen haar ziet zitten.... ;-)
Flagg
@adje12316 november 2021 18:12
We wonen niet allemaal in de biblebelt alsof het zo'n ramp is met zo'n site "geassocieerd" te worden.
LurkZ
@Flagg16 november 2021 18:36
Voor velen, ook buiten de Biblebelt, wel.
Bv mensen die nog niet uit de kast gekomen zijn.
Mensen die zich toch wel schamen voor hun voorkeur zoals bv SM or dieren.
Mensen van wie de partner het niet goedkeurt.
Heel erg veel mensen doen aan seks, maar velen willen er niet over spreken.

Dus @adje123 heeft zeker een punt. Een sterk punt zelfs.
TheVivaldi
@LurkZ16 november 2021 21:14
Maar wie zegt dat je daar geen nepgegevens invult? Incl. wegwerpe-mailadres.
GekkePrutser
@TheVivaldi16 november 2021 23:10
Als kijker zal je zeker nepgegevens kunnen gebruiken (en zou ik ook aanraden). Betaalgegevens is wat lastiger maar meestal kunnen dat soort sites wel bitcoin denk ik :) Zeker omdat de banken het ze lastig maken.

Maar als "performer" kom je op zo'n site niet weg met nepgegevens. Die verwachten dat je naam, toenaam en kopie van ID en alles oplevert. Dat moeten ze zelfs ivm de 18+ wetgeving.

Dus reken maar dat ze veel zeer gevoelige info hebben van veel mensen. Al denk ik niet dat de ID kopieen in deze database stonden, aan de screenshots te zien is het alleen tekst info.

[Reactie gewijzigd door GekkePrutser op 16 november 2021 23:15]

TheVivaldi
@GekkePrutser17 november 2021 09:59
Je hoeft niet altijd te betalen - er zijn ook sites waar je gratis een account kunt maken. Maar inderdaad, ik had even niet gedacht aan performers. Daar heb je een goed punt. :)
Tintel
@LurkZ17 november 2021 09:27
@adje123 zegt:
waarmee je in het openbaar geassocieerd wil worden.
dat impiceert schaamte. Waar jij op doelt is dat het geheim is - wellicht vanwege schaamte maar kan ook om andere redenen zijn.
Veel zaken zijn prive om allerlei redenen - sex is idd ook zo iets. Niet dat mensen zich ervoor schamen maar toch wil je niet dat details in de openbaarheid komen.
Wel jammer - maar we (ver)oordelen nu eenmaal graag...
Bensimpel
@adje12316 november 2021 18:47
Ik bezoek regelmatig de site met de hamster, mag je prima weten hoor. Voel mij niet beschaamd om over seks te praten ofzo. Niet iedereen is zo preuts. (Wij Nederlanders zijn in het algemeen juist er erg open over tegenover andere landen).
Argantonis
@Bensimpel17 november 2021 06:10
Ik bezoek regelmatig de site met de hamster, mag je prima weten hoor. Voel mij niet beschaamd om over seks te praten ofzo. Niet iedereen is zo preuts. (Wij Nederlanders zijn in het algemeen juist er erg open over tegenover andere landen).
Ok, maar wij op Tweakers weten nu alleen dat je hier een accountnaam genaamd Bensimpel hebt. Echt publiek ga je niet. Laat staan dat al je collega’s, inclusief je preutse baas, het te weten komen.
Polydeukes
@adje12316 november 2021 18:52
(Bijna) ieder volwassen en gezond mens heeft behoefte aan genegenheid en seks. Dat is hartstikke gezond. Als je bedpartner(s) of je eigen fantasie je onvoldoende voldoening geven, is er niks mis met wat onschuldige, externe stimulatie. In mijn beleving staat porno kijken zeker niet gelijk aan je partner bedriegen.
Het taboe op de porno- en seksindustrie is eigenlijk hartstikke onnozel, zeker als je ziet hoeveel geld er in om gaat. Het is ook jammer dat we onze kinderen nog altijd opvoeden met het idee dat seks (met jezelf) iets smerigs is. Het is hartstikke natuurlijk en gezond.
On topic: ik kan me alleen wel heel goed voorstellen dat je je voorkeuren en je activiteiten privé wenst te houden. Dus zo'n lek is behoorlijk kwalijk.
Tintel
@Polydeukes17 november 2021 09:32
Goed punt. Je ziet wel dat acceptatie van wat vroeger taboe was - vooral dankzij religie vermoed ik - langzaaam toch meer geaccepteerd wordt.
Daarbij komt ook nog eens de huidige tendens om werk en prive te willen scheiden. Dat lijkt geen probleem maar daarmee zeg je dus ook meteen dat je collega's dus niet je vrienden mogen/kunnen zijn. En zeker geen relatie mag hebben met een collega. Dat klopt gewoon niet. Ook werk leidt tot sociale interactie en sterker nog: het is zelfs beter voor jezelf en je werk, dat het niet compleet ontdaan is van alle menselijke emotie (is mijn mening).
kodak
@adje12316 november 2021 19:30
Maar dat hangt dus af van hoe je er voor jezelf en je omgeving waarde aan hecht, niet van het bestaan van de site. En dat is bij andere ondernemingen waar je je gegevens kan laten verwerken om diensten af te nemen niet anders.
ManIkWeet
@adje12316 november 2021 18:01
Ja want het is natuurlijk de fout van de gebruiker.

Eigen schuld dikke bult! Had je maar geen ontspanning moeten willen...
wica
@adje12316 november 2021 19:13
Misschien ligt het probleem bij dat taboe of bij de jaloerse partner?

Mijn vrouw heeft er geen probleem, ook o.a. omdat ik er mijn geld mee verdient heb.
Maar de reacties van haar vriendinnen... Triest. Als of het kijken naar een naakt persoon, gelijk staat aan vreemd gaan.
The Zep Man
@wica16 november 2021 19:16
Mijn vrouw heeft er geen probleem

(...)

Als of het kijken naar een naakt persoon, gelijk staat aan vreemd gaan.
Zolang het bovenste waar is, is het geen vreemdgaan.

Zat koppels die seksueel niet exclusief aan elkaar zijn (op verschillende niveaus). Dat is geen vreemdgaan.

[Reactie gewijzigd door The Zep Man op 16 november 2021 19:17]

NSG
16 november 2021 18:28
Ben toch wel benieuwd hoeveel saldo de top 10 heeft.
arjanvr
@NSG16 november 2021 18:37
Op de site staat dat de grootste uitgave in 1 dag 77k is en de grootste tip 17k dus dat zal flink wat zijn :)
phpnuker
16 november 2021 18:01
Ik kende de site niet maar nu wel. :P
junkchaser
16 november 2021 18:12
Geen enkele strip gevonden op die website ...
MrFax
@junkchaser16 november 2021 19:02
Vond het al raar... waarom zou je strips willen lezen en chatten tegelijk?
Vrijdag
@MrFax16 november 2021 19:23
Graphic novel audioboek :P
Bombaron
16 november 2021 18:37
Ik dacht, leuk, een site voor stripboeken en chatten erover, zie ik ineens een heel ander iets... :+
SpiceWorm
16 november 2021 19:07
Het geslacht was zichtbaar, nee, goh, je zou het niet verwachten op een pornosite ;)
bluetooth 5.0
16 november 2021 19:09
Er zijn andere en betere alternatieve websites zoals dit beschikbaar. Nooit naar die stripchat gekeken. Was best saai en weinig aanbod
telenut
@bluetooth 5.017 november 2021 19:50
de beoordeling van uw reactie zou beter scoren als die alternatieven er in staan :-)

Op dit item kan niet meer gereageerd worden.

Tweakers maakt gebruik van cookies

Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee