在线视频下载器Dirpy 泄露用户数据,包括露骨内容

阅读量87864

发布时间 : 2024-05-24 12:05:28

Dirpy 系统配置错误,导致用户的 IP 地址和下载内容被泄露,其中包括露骨内容。

3 月 24 日,Cyber​​news 研究团队发现了一个属于在线视频下载器 Dirpy 的开放 Kibana 实例。Dirpy 的最大用户群在日本和美国,它提供的在线视频下载服务主要用于 YouTube 和成人网站。

由于存在许多服务提供商,因此此类平台的法律地位仍处于灰色地带。虽然未经版权所有者许可从 YouTube 或其他平台下载视频通常是违法的,但出于个人非商业用途下载视频仍然是合法的。

尽管这项服务的合法性值得怀疑,但在线视频下载的需求量仍然巨大。仅 Dirpy 的平台每月就有 200 万访问者,这意味着不良的网络安全措施可能会影响大量个人。

Cyber​​news 研究团队发现,Dirpy 视频下载器未能在其 Kibana 上正确设置身份验证,导致包含 1570 万条私人数据的日志泄露。

泄露的数据包括:

  • 用户 IP 地址
  • 高级用户帐户 ID
  • 包含下载内容的活动日志,包括露骨内容
  • 请求内容的 URL
  • 用户诊断信息

活动日志显示用户正在下载露骨内容

活动日志显示用户正在下载 NSFW 内容

Kibana 是一款开源数据可视化工具,用于创建交互式仪表板。它提供强大的搜索和查询功能,支持实时数据监控并生成报告。

Kibana 的这些特性导致 Dirpy 的用户数据实时泄露,直到实例关闭。在团队与该公司联系后,实例的访问才得到保障。研究显示,Dirpy 的数据从 2024 年 3 月 18 日到 4 月 24 日都可用。

一旦 Kibana 实例暴露在互联网上且未通过身份验证保护,任何人都可以访问它,包括威胁行为者,他们可以轻松地将泄露的数据用于恶意目的。

活动日志扩展以显示用户 IP 和诊断信息
活动日志扩展以显示用户 IP 和诊断信息

露骨内容下载日志被泄露
此次泄密事件引起了人们的极大担忧,因为它暴露了下载视频的日志,包括与下载内容相关的用户 IP 地址。下载内容中很大一部分来自成人网站,泄露了用户的敏感信息,例如他们的性取向、习惯和兴趣。

由于该服务的免费版本可供任何人使用,无需创建账户,因此此次泄露的影响有所减弱。但是,无论有没有账户,IP 地址都已暴露,构成风险。IP 可能用于识别用户,以及粗略位置,在某些情况下,还可以识别精确位置。

此次泄密事件再次提醒我们,使用在线服务时必须谨慎。互联网上的每一个行为都会留下痕迹。强烈建议使用 VPN 或安全代理服务,因为它可以消除网络地址与个人身份信息之间的联系。

肮脏的日志
Dirpy 泄露的活动日志

本文转载自:

如若转载,请注明出处: https://cybernews.com/security/online-video-downloader-dirpy-data-leak/

安全客 - 有思想的安全新媒体

分享到:微信
+12赞
收藏
安全客
分享到:微信

发表评论

内容需知
  • 投稿须知
  • 转载须知
  • 官网QQ群8:819797106
  • 官网QQ群3:830462644(已满)
  • 官网QQ群2:814450983(已满)
  • 官网QQ群1:702511263(已满)
合作单位
  • 安全客
  • 安全客
Copyright © 北京奇虎科技有限公司 360网络攻防实验室 安全客 All Rights Reserved 京ICP备08010314号-66