备受争议的社交媒体人物安德鲁·泰特 (Andrew Tate) 的学习平台“真实世界” (The Real World) 已泄露近百万用户信息和超过 2200 万条消息。
数十万暴露的用户、数百万条消息和会话令牌——这就是现实世界面临的现实。
Cybernews 研究团队从 The Real World 的一台服务器中发现了一个暴露的 88GB MongoDB 实例。
Tate’s The Real World 是一个基于订阅的一体化学习平台,声称可以为用户提供有关业务发展的见解。
在团队联系该公司后,该实例就被隐藏在公众视野之外。 Cybernews 已联系 The Real World 寻求有关暴露数据库的官方评论,但我们在发布之前没有收到回复。
现实世界的暴露数据
据该团队称,该数据库至少从 2024 年 4 月 8 日起就已被曝光。泄露的 88GB 数据包含来自该平台的大量敏感信息。
现实世界的 MongoDB 实例拥有 968,447 个用户帐户,暴露了用户 ID、电子邮件地址、加密密码、验证状态、帐户恢复代码、密码过期日期和重置令牌。
此外,暴露的实例包含超过 640 万个会话令牌和用户 ID。网站将这些令牌与用户 ID 进行匹配以识别特定用户。对手可以使用代币来冒充用户,从而获得对帐户的完全访问权限。
除其他信息外,该团队还发现了 891,646 个暴露的用户设备,其中包括令牌、用户 ID 以及他们用于访问现实世界的平台。
令人担忧的是,该数据库还拥有超过 2200 万条用户消息。数百万条曝光对话中最早的日期为 2022 年 10 月,最新的日期为 2024 年 4 月。
该团队还发现,泄漏的实例具有服务器禁令、多重身份验证 (MFA) 票证、事件日志和其他不适合公众的管理级信息。
研究人员表示,暴露如此多的敏感数据会危及该平台近百万用户的安全,因为攻击者可能会利用泄露的数据来损害他们的隐私。
“消息、用户设备和其他集合(例如服务器禁令和 MFA 票证)的暴露可能会让恶意行为者利用漏洞、发起网络钓鱼攻击或大规模进行身份盗窃,从而给个人和平台带来重大风险本身,”研究人员说。
令人担忧的是,该数据库还拥有超过 2200 万条用户消息。数百万条曝光对话中最早的日期为 2022 年 10 月,最新的日期为 2024 年 4 月。
该团队认为该实例是由于 MongoDB 配置错误而暴露的,这是此类数据泄露背后的常见原因。
有趣的是,研究人员注意到另一个具有相同数据库的 IP 已经出现在网上。除此之外,这可能表明恶意行为者已经复制了数据集。
充满争议
泰特美术馆和现实世界门户网站都没有回避争议。泰特因宣扬厌恶女性的生活方式选择而受到批评。
2022 年底,塔特在罗马尼亚被捕,罪名是强奸、贩卖人口以及组建有组织犯罪集团对妇女进行性剥削。 2024 年 3 月,英国警方因泰特性侵犯指控获得欧洲逮捕令。
与此同时,《现实世界》也受到了鼓励厌女症以及开发与非法传销极其相似的商业模式的指控。
去年 9 月,这些指控促使苹果和谷歌大胆从谷歌 Play 和苹果应用商店市场撤回 The Real World 应用程序。
Hustler University 关闭后,泰特美术馆于 2022 年 11 月推出了 The Real World,这是一个类似的订阅平台,为会员提供如何在传统就业之外赚钱的指导。
分享到:
发表评论
您还未登录,请先登录。
登录