Ένας χάκερ ισχυρίζεται ότι πούλησε μια τεράστια διαρροή δεδομένων του OnlyFans που συνδέεται με 340 εκατομμύρια αρχεία χρηστών σε ένα δημοφιλές φόρουμ για εγκλήματα στον κυβερνοχώρο.
Ο πωλητής, που λειτουργεί με το ψευδώνυμο «Euphoric_Reply_5727», ανέφερε στη βάση δεδομένων 0,313 BTC, ποσό που αντιστοιχεί σε περίπου 24.007 δολάρια κατά τη στιγμή της καταχώρισης.
⚠️ Το ψηφιακό σας δακτυλικό αποτύπωμα (διεύθυνση IP) είναι εκτεθειμένο!
Η διεύθυνση IP σας είναι: ανίχνευση…
Κάντε streaming/λήψη ανώνυμα με το Private Internet Access.
🌐 Μόνο 1,99€ / μήνα + 2 μήνες δώροΟι πληροφορίες που περιέχονται στο techvortex.eu προορίζονται μόνο για γενικούς σκοπούς πληροφόρησης.
Το OnlyFans έχει χαρακτηρίσει δημόσια τις αναφορές «ψευδείς», αλλά η καταχώριση παραμένει ενεργή και οι ερευνητές λένε ότι τουλάχιστον ορισμένα από τα δείγματα αρχείων ευθυγραμμίζονται με πραγματικούς λογαριασμούς στην πλατφόρμα.
Πώς συνέβη η διαρροή δεδομένων του OnlyFans
Σύμφωνα με την ίδια την ανάρτηση του πωλητή, δεν πρόκειται για άμεση παραβίαση του OnlyFans. Το σύνολο δεδομένων δημιουργήθηκε με διασταύρωση παλιών dumps παραβίασης από άλλες πλατφόρμες με γνωστούς λογαριασμούς OnlyFans.
Με τα λεγόμενά τους: «Δεν παραβιάσαμε ούτε χακάραμε το OnlyFans. Χρησιμοποιήσαμε υπάρχουσες βάσεις δεδομένων παραβιάσεων και διαρροών και ταιριάξαμε με χρήστες της πλατφόρμας OnlyFans».
Ο πωλητής ανέφερε συγκεκριμένα παλαιότερες παραβιάσεις από το Twitter, το Instagram και το Spotify ως πηγή. Τα εκτεθειμένα πεδία φέρεται να περιλαμβάνουν:
- Ονόματα χρήστη και πλήρη ονόματα
- Διευθύνσεις ηλεκτρονικού ταχυδρομείου και αριθμοί τηλεφώνου
- Αριθμός ακολούθων, likes και στατιστικά στοιχεία μεταφόρτωσης περιεχομένου
- Τύποι λογαριασμών και συνδεδεμένα προφίλ κοινωνικών μέσων
- Αξίωση των τελευταίων τεσσάρων ψηφίων των καρτών πληρωμής
Αξιολόγηση της προστασίας από κλοπή ταυτότητας Aura
Ανεξάρτητοι ερευνητές εξέτασαν τα δείγματα δεδομένων και επιβεβαίωσαν ότι 10 από τα ονόματα χρήστη ταίριαζαν με πραγματικά προφίλ OnlyFans. Οι αντιστοιχίες email και οι ισχυρισμοί για κάρτες πληρωμής δεν μπορούσαν να επαληθευτούν ανεξάρτητα κατά τη στιγμή της σύνταξης του παρόντος.
Απάντηση του OnlyFans
Το OnlyFans δήλωσε στους δημοσιογράφους ότι οι ισχυρισμοί είναι «ψευδείς», αλλά δεν έδωσε περισσότερες λεπτομέρειες σχετικά με τα δεδομένα ή τη μεθοδολογία του πωλητή.
Αυτή η άρνηση ταιριάζει με το μοτίβο που έχουμε δει με άλλες διαρροές «μεταγλώττισης», όπου μια πλατφόρμα τεχνικά δεν παραβιάστηκε, αλλά οι χρήστες της καταλήγουν σε μια νέα βάση δεδομένων που συνδέει την πραγματική τους ταυτότητα με έναν λογαριασμό επί πληρωμή. Ο κίνδυνος για τον τελικό χρήστη είναι σε μεγάλο βαθμό ο ίδιος σε κάθε περίπτωση.
Πώς να προστατευτείτε από διαρροές δεδομένων
Ακόμα κι αν το ίδιο το OnlyFans δεν είχε παραβιαστεί, το να συνδέεται το email ή ο αριθμός τηλεφώνου σας με έναν λογαριασμό OnlyFans σε μια βάση δεδομένων που πωλείται αποτελεί ένα από μόνο του πρόβλημα. Οι απάτες εκβιασμού και το στοχευμένο ηλεκτρονικό ψάρεμα (phishing) τείνουν να αυξάνονται αμέσως μετά την εμφάνιση λιστών σαν κι αυτή στην αγορά.
Εάν έχετε λογαριασμό OnlyFans ή λογαριασμό Twitter, Instagram ή Spotify που ενδέχεται να έχει εντοπιστεί σε παλαιότερες παραβιάσεις, ακολουθήστε αμέσως τα παρακάτω βήματα:
- Αλλάξτε τον κωδικό πρόσβασής σας στο OnlyFans και οποιονδήποτε λογαριασμό τον μοιράζεται
- Ενεργοποιήστε τον έλεγχο ταυτότητας δύο παραγόντων χρησιμοποιώντας μια εφαρμογή ελέγχου ταυτότητας, όχι SMS
- Να είστε επιφυλακτικοί με οποιοδήποτε email ή μήνυμα που αναφέρεται στη δραστηριότητά σας στο OnlyFans, στον αριθμό των ακολούθων σας ή στα στοιχεία πληρωμής σας.
- Ελέγξτε αν έχω παραβιαστεί για να δείτε σε ποιες προηγούμενες παραβιάσεις εμφανίζεται το email σας
Τελικές Σκέψεις από την Τροία
Η παραδοχή του ίδιου του πωλητή ότι αυτή η λίστα με τα 340 εκατομμύρια δίσκους δημιουργήθηκε από παλιά αρχεία του Twitter, του Instagram και του Spotify είναι το κομμάτι που αξίζει να παρακολουθήσουμε.
Τα δεδομένα σας δεν χρειάζεται να έχουν κλαπεί πρόσφατα για να μετατραπούν σε όπλα, και μια πλατφόρμα όπως το OnlyFans ενέχει κίνδυνο φήμης που ένας διαρρεύσας λογαριασμός Spotify δεν θα το κάνει ποτέ.
Θα θεωρούσα την «ψευδή» άρνηση ακριβή λόγω τεχνικών λεπτομερειών και θα εξακολουθούσα να ενεργώ σαν οι πληροφορίες σας να είναι διαθέσιμες, επειδή για πολλούς χρήστες, είναι.
Για περισσότερες λεπτομέρειες σχετικά με αυτήν την ιστορία, ανατρέξτε στην αρχική αναφορά από το Hackread .
Θέλουμε να μάθουμε τις σκέψεις σας. Τι πιστεύετε για αυτήν την ιστορία; Πείτε μας στην ενότητα σχολίων παρακάτω!
