Wie in den Sicherheitsnachrichten an diesem Wochenende breit berichtet wurde, gab es eine Bestätigung für eine Sicherheitsverletzung bei MyFreeCams.com. Bei dem sogenannten MyFreeCams-Hack handelte es sich um eine Sicherheitsverletzung, die im Dezember 2021 auftrat, aber die Informationen wurden erst kürzlich von Cybernews bestätigt, nachdem der Hacker begonnen hatte, die Informationen zu verkaufen.
Damit reiht sich MFC in die lange Liste der Erotikseiten ein, bei denen es zu Datenschutzverletzungen kam. Es scheint fast schon ein Ding zu sein, Websites für Erwachsene zu hacken, um an Nutzerdaten zu gelangen. Egal ob es sich um Hardware für Erwachsene oder Websites für Erwachsene handelt, vielleicht denken Hacker, dass sie ein leichtes Ziel sind.
Was ist passiert?
Ein Hacker nutzte eine Sicherheitslücke, eine SQL-Injection-Attacke, in der MyFreeCams.com-Website, um eine Datenbank zu stehlen. Es ist nicht klar, ob es sich um die gesamte Benutzerdatenbank handelt, aber die „2 Millionen Premium- und Diamant-Mitglieder“ klingen nach einer Menge, und möglicherweise nach der ganzen Sache. Ich glaube nicht, dass MFC jemals gesagt hat, wie viele Mitglieder sie haben, aber 2 Millionen könnte eine vernünftige Zahl sein, um „alle“ Mitglieder zu sein.
Nachdem der Hacker diese Datenbank gestohlen hatte, bot er sie in einem „beliebten Hacker-Forum“ zum Verkauf an, dessen Namen ich aus offensichtlichen Gründen nicht nennen werde (Sie können mich privat in meinem Nicht-Hacker-Forum fragen, wenn Sie es wirklich wissen müssen).
Der Verkaufspreis wurde mit 1.500 Dollar für 10.000 Benutzereinträge angegeben.
Die Zahlung wurde in Bitcoins verlangt, und die Verfolgung der Bitcoin-Zahlungsadresse zeigt, dass 49 Verkäufe getätigt wurden. Da der Verkäufer angab, dass jeder Verkauf für eine einmalige Liste erfolgt, bedeutet dies, dass 49 mal 10.000 oder fast eine halbe Million Datensätze betroffen sind.
Der Verkäufer ging davon aus, dass die Leute diese Datensätze kaufen und dann die einzelnen Konten, die Token und damit einen Wert hatten, auf dem Schwarzmarkt weiterverkaufen würden, um einen Gewinn zu erzielen. Es gibt keine Beweise dafür, dass dies tatsächlich geschehen ist.
Es gibt noch viele andere Gründe, warum jemand an den Benutzernamen und die E-Mail-Adressen von Premium-Nutzern von MyFreeCams interessiert sein könnte. Cyber-Blackmail- oder Phishing-Betrügereien sowie gezielte Spear-Phishing-Betrügereien scheinen wahrscheinliche Gründe dafür zu sein, so viel Geld auszugeben, um eine Liste von Nutzern von Erwachsenen-Cam-Sites zu kaufen.
Was wurde gestohlen?
Eine Liste von Premium MyFreeCams Benutzerkonten, einschließlich des Benutzernamens, der E-Mail-Adresse und des unverschlüsselten Klartext-Passworts sowie der Anzahl der Token, die die Konten zu diesem Zeitpunkt hatten.
Dazu gehören nicht die Mitgliederkonten, die nicht Premium sind. Die Basiskonten, d. h. Mitglieder, die noch nie Token erworben haben, sind nicht enthalten.
Was sollten Sie jetzt tun?
Wenn Sie einen Premium-Account bei MyFreeCams haben, dann wäre jetzt ein guter Zeitpunkt, Ihr Passwort zu ändern und auch daran zu denken, dass Ihre E-Mail-Adresse Hackern bekannt sein könnte, die nicht nur Ihre E-Mail-Adresse kennen, sondern auch, dass Sie ein Nutzer von MFC sind.
Die E-Mail-Adresse zu ändern und sogar die bisherige Adresse aufzugeben, wäre schön, ist aber wahrscheinlich für die meisten Leute nicht praktikabel, aber wenn es für Sie so ist, dann tun Sie es. Bei MFC kann man seine primäre E-Mail-Adresse nur ändern, wenn man sich an den Support wendet, es gibt keine Schnittstelle, um dies selbst zu tun.
Wenn du dort ein Passwort benutzt hast, das du auch anderswo benutzt hast, dann solltest du das nicht tun, aber wenn du es getan hast, dann ändere es auf den anderen Seiten so schnell wie möglich.
Kann man daraus etwas lernen?
Hacking ist eine Tatsache des Lebens, wenn du sicherer sein willst, dann benutze verschiedene Passwörter für verschiedene Seiten und vorzugsweise verschiedene E-Mail-Adressen. Zumindest solltest du eine eigene E-Mail-Adresse für deine Bedürfnisse als Erotik-Camper haben und sie nicht für andere Dinge verwenden.
Zu guter Letzt: Wenn du ein Programmierer bist oder hinter den Kulissen arbeitest, solltest du wirklich jedes Mal ausflippen, wenn du eine Datenbank mit Passwörtern im Klartext siehst. Warum macht das jemand? ????
Außerdem: SQL Injection? Echt jetzt? Was ist mit vorbereiteten Abfragen mit gebundenen Variablen passiert. Oder zumindest mysql_real_escape_string(). Haben wir nichts gelernt?
