Το δημοφιλές casting website των ΗΠΑ “MyCastingFile.com” διέρρευσε online τα δεδομένα περίπου 260.000 ατόμων. Οι ερευνητές ασφαλείας της “Safety Detectives”, με επικεφαλής τον Anurag Sen, ανέφεραν σε σχετική τους έκθεση ότι η διαρροή ανακαλύφθηκε στις αρχές Ιουνίου.
Το MyCastingFile.com με έδρα τη Νέα Ορλεάνη είναι ένα online γραφείο casting που προσλαμβάνει ηθοποιούς για να συμμετάσχουν σε ταινίες ή τηλεοπτικές εκπομπές. Οι χρήστες μπορούν να εγγραφούν δωρεάν ή βάσει συνδρομής για να υποβάλουν αίτηση για casting. Η εταιρεία casting ισχυρίζεται ότι παρείχε ηθοποιούς για μεγάλες παραγωγές, συμπεριλαμβανομένων των True Detective, Pitch Perfect, NCIS: New Orleans και Terminator Genisys.
Οι ερευνητές της Safety Detectives ανακάλυψαν έναν ανοιχτό Elasticsearch server, που φιλοξενείται από το Google Cloud, στις ΗΠΑ. Η βάση δεδομένων δεν ήταν ασφαλής μέσω οποιασδήποτε μορφής ελέγχου ταυτότητας, με αποτέλεσμα να διαρρεύσουν 10 περίπου εκατομμύρια αρχεία. Η βάση δεδομένων είχε μέγεθος 1 GB και οι ερευνητές διαπίστωσαν ότι διέρρευσαν τα προφίλ 260.000 χρηστών του casting website, συμπεριλαμβανομένων των επίδοξων ηθοποιών, ενώ ενδέχεται να διέρρευσαν και προφίλ υπαλλήλων της εταιρείας.
Μεταξύ των προσωπικά αναγνωρίσιμων πληροφοριών (PII) που διέρρευσαν online περιλαμβάνονταν ονόματα, διευθύνσεις κατοικιών, διευθύνσεις email, αριθμοί τηλεφώνων, ιστορικά εργασίας, ημερομηνίες γέννησης, σωματικά χαρακτηριστικά (ύψος – βάρος), εθνικότητα και εξωτερικά χαρακτηριστικά που ενδιαφέρουν τους πιθανούς εργοδότες, όπως για παράδειγμα το μήκος και το χρώμα των μαλλιών ή το χρώμα των ματιών.
Clone Alpha: Νέο επαναστατικό ανθρωποειδές ρομπότ
Χάκερ χρησιμοποιούν webcam χωρίς να εντοπίζονται
Αστεροειδής φλέγεται πάνω από τη Σιβηρία
Επιπλέον, τα αρχεία που διέρρευσαν, περιλάμβαναν πληροφορίες σχετικά με τα οχήματα που μπορεί να διέθεταν τα άτομα, όπως για παράδειγμα το μοντέλο, το χρώμα και το έτος κατασκευής. Με την παραβίαση διέρρευσαν επίσης φωτογραφίες προσώπων και σωμάτων. Ωστόσο, δεν διέρρευσαν όλες οι φωτογραφίες που υπήρχαν στα αρχεία του website, καθώς αυτές ήταν αποθηκευμένες σε πολλές τοποθεσίες και μέσω διαφορετικών υπηρεσιών cloud.
Στην πλατφόρμα του casting website μπορούν να εγγραφούν και άτομα κάτω των 18 ετών, υπό την προϋπόθεση ότι τους λογαριασμούς τους, τους διαχειρίζονται οι κηδεμόνες τους και ότι εκείνοι δίνουν την συγκατάθεσή τους.
Οι ερευνητές επεσήμαναν πως από την διαρροή δεδομένων του casting website, θα μπορούσε να προσδιοριστεί πόσα και ποια από τα δεδομένα που διέρρευσαν online ανήκαν σε παιδιά, αν και η ομάδα ασφαλείας δεν πραγματοποίησε πλήρη λήψη ή δημογραφική ανάλυση των διαθέσιμων δεδομένων, κυρίως για ηθικούς λόγους.
Τα αρχεία του server δείχνουν ότι η διαρροή ξεκίνησε για πρώτη φορά στις 31 Μαΐου. Το MyCastingFile μεταφέρεται σε νέα πλατφόρμα, οπότε το ζήτημα αυτό ενδέχεται να σχετίζεται με τη μετακίνηση.
Οι ερευνητές της Safety Detectives εξέτασαν και επαλήθευσαν τον κάτοχο της βάσης δεδομένων, διαπιστώνοντας, στις 11 Ιουνίου, πως αυτή ανήκε στο MyCastingFile. Την ίδια μέρα, το MyCastingFile διασφάλισε τον server του.
Η γρήγορη απόκριση του MyCastingFile στην διαρροή είναι, δυστυχώς, σπάνια αυτές τις μέρες. Σε πολλές περιπτώσεις ερευνητών που αναφέρουν ζητήματα διαρροής δεδομένων, οι οργανισμοί χρειάζονται εβδομάδες ή και μήνες για να αντιμετωπίσουν το πρόβλημα, ενώ δεν είναι λίγες οι φορές που μπορεί απλά να αγνοήσουν τις προειδοποιήσεις ασφαλείας.