En million pornobrukere lekket

«Ekstremt personlig og sårbart innhold» fra identifiserbare brukere lå åpent tilgjengelig for offentligheten.

UTSATT: Over en million brukere av den populære pornosida Luscious har fått aktivitet og personlig informasjon eksponert. Illustrasjonsfoto: NTB Scanpix
UTSATT: Over en million brukere av den populære pornosida Luscious har fått aktivitet og personlig informasjon eksponert. Illustrasjonsfoto: NTB ScanpixVis mer

Et alvorlig sikkerhetsbrudd skal ha lekket personlig brukerinformasjon til samtlige av de over 1,1 millioner registrerte brukerne av den populære pornosida Luscious, melder TechCrunch.

Luscious er en av de mest populære pornosidene i USA, og spesialiserer seg på såkalt hentai-porno - japansk pornografi med tegnede figurer.

De registrerte brukerne skal kunne laste opp innhold anonymt på sida, som ifølge databasen inneholdt nesten 20 millioner bilder, 900 videoer og 30 000 blogginnlegg fra brukerne.

Under sikkerhetsbruddet har brukerdatabasen ligget åpen, slik at hvem som helst uten passord kunne få tilgang til brukernes aktivitet på sida, samt identifiserende e-postadresser.

- Ekstremt personlig

Lekkasjen ble avdekket av de israelske sikkerhetsforskerne Noam Rotem og Ran Locar, som er tilknyttet vpnMentor - en tjeneste som spesialiserer seg på evaluering av VPN-tjenester.

De oppdaget sikkerhetsbruddet torsdag forrige uke, og kontaktet eierne av Luscious fredag. Mandag skal problemet ha blitt fikset, etter to uker med eksponering av databasen.

- Noen av blogginnleggene vi fikk tilgang til var ekstremt personlige - og inkluderte depressivt eller på andre måter sårbart innhold - som ble holdt anonymt. Men på grunn av sikkerhetsbruddet ble mange av innleggsforfatternes identitet avslørt, skriver forskerne i et blogginnlegg.

Analysene av brukernes e-postadresser viser at et stort antall brukere er europeiske. Flere har også registrert seg med e-postadresser som tilsier at de jobber innen høyere utdanning, samt i myndighetsapparatet i flere land.

- Dette medfører en økt sårbarhet ikke bare for brukerne, men for deres arbeidsgivere. Med tilgang til e-postadressene kan kriminelle hackere angripe myndighetene, skriver forskerne videre.

De påpeker blant annet at brukerne risikerer å bli truet med offentliggjøring av aktiviteten overfor familie, venner og arbeidsgivere, med mindre de eksempelvis betaler en gitt sum til vedkommende som framsetter trusselen. Det er imidlertid ingen garanti for at innholdet ikke blir delt uansett, advarer de.

Skal advare brukerne

TechCrunch skal ha kontaktet eieren av nettsida gjentatte ganger før de publiserte saken, uten å få noe svar. Det var først etter kontakt med Luscious' webvert at tilgangen til databasen ble stengt for offentligheten.

Etter publisering mandag kveld bekreftet imidlertid eieren sikkerhetsbruddet.

- Vi kommer til å kontakte alle kompromitterte brukere og advare dem om den potensielle eksponeringen, skriver vedkommende i en e-post.

Rotem og Locar anbefaler alle brukere å endre kontoopplysningene sine, inkludert brukernavn og e-postadresse.

Til alle som har eller vurderer å skaffe seg en registrert bruker på tilsvarende nettsider, anbefaler de å anvende informasjon som ikke kan assosieres til sitt ekte navn, personlige e-post eller noen annen konto på nett.