PussyCash-Datenleck betrifft Tausende Erotik-Modelle weltweit

[English]Das 'Kind' (Datenleck) hat einen treffenden Namen: PussyCash. Das Datenleck, auf das Sicherheitsforscher gestoßen sind, ist eine Datenbank mit über 875.000 Dateien, die sehr persönlichen Daten (vom Ausweisscan bis zu Adressen und Geburtsurkunden, Kreditkarten etc.) von Erotik-Modellen, die auf Erwachsenenseiten aktiv sind, offen legen. Ich wurde gerade von den Sicherheitsforschern von vpnMentor auf den Fall aufmerksam gemacht.


Anzeige

PussyCash: 'Cam'-Affiliate-Netzwerk

PussyCash ist ein  'Cam'-Affiliate-Netzwerk, welches über Marken wie ImLive Websites für Erotik-Modelle mit erwachsenenorientierten Inhalten anbietet. PussyCash hostet Partnerprogramme für mehrere Websites für Erwachsene und bezahlt Webmaster für den Datenverkehr, der über Banner und Exit-Traffic auf die Websites geschickt wird. Sie rühmen sich mit 66 Millionen registrierten Mitgliedern allein in ihrer Webcam-Chat-Arena ImLive.

PussyCash-Leak
(Source: vpnMentor)

Andere Websites sind unter anderem Sexier.com, FetishGalaxy, Supermen.com, Shemale.com, CamsCreative.center, forgetvanilla.com, idesires.com, Phonemates.com, SuperTrip.com und sex.sex.

Zu den Partnern, die auf der PussyCash-Website aufgeführt sind, gehören BeNaughty, Xtube und Pornhub. Der Besitzer von ImLive und PussyCash ist offiziell als I.M.L. SLU, ein in Andorra registriertes Unternehmen, gelistet.


Anzeige

Das Datenleck

Das vpnMentor-Forschungsteam für Cybersicherheit, unter der Leitung von Noam Rotem und Ran Locar, ist auf einen offenen Amazon S3-Bucket auf einem Amazonas-Server in Virginia gestoßen. Dort waren 19,95 GB an Daten, die sich auf PussyCash und das darunter liegende Netzwerk beziehen, offen abruf- und einsehbar.

Auf dem S3-Bucket waren mehr als 875.000 Dateien gespeichert. In den Dateien fand sich Marketing-Material, Clips und Screenshots von Video-Chats, etc. Aber der brisantere Teil ist der Umstand, dass Tausenden Ordner von Models, die die Plattform nutzten, offen zugreifbar sind. In diesen  Ordner liegen auch Bilder und Scans von ihren Pässen, ID-Karten, Sozialversicherungskarten, Kreditkarten und vieles mehr. Hier die Liste der Daten der Modelle:

  • Vollständiger Name
  • Geburtsdatum, Geburtsort
  • Status der Staatsbürgerschaft, Nationalität
  • Reisepass-/ID-Nummer
  • Passausstellung & Ablaufdaten
  • National registriertes Geschlecht
  • Ausweisfoto
  • Persönliche Unterschrift
  • Vollständige Namen der Eltern
  • Fingerabdrücke

Hinzu kommen länderspezifische Details (z.B. Notfallkontaktinformationen für britische Bürger). Das volle Besteck, was man für einen Identitätsdiebstahl bräuchte – Cyber-Kriminelle können mit diesen Daten Konten auf den Namen der betreffenden Person eröffnen und vieles mehr.

Modell-Agreement
(Modell-Agreement, Quelle: vpnMentor)

In den Dateien fanden sich auch Scans und Fotos von Führerscheinen, Identifikationskarten des US-Militärs, Kreditkarten, Modellverträge, Geburtsurkunden, Lebensläufe und vieles mehr. Folgender Tweet zeigt eine Kopie eines US-Führerscheins – weitere Scans sind auf dieser vpnMentor-Seite abrufbar.

Die Modelle, es sind auch europäische Personen aus Deutschland etc. darunter, werden dadurch quasi gläsern.

Fetter DSGVO-Fall?

Es scheint, dass das Leck von einer der zahlreichen Marken von PussyCash verursacht wurde. Da der Besitzer von ImLive und PussyCash offiziell als Firma in Andorra registriert ist, dürfte er der DSGVO unterliegen. Damit wird die Geschichte auch unter diesem Gesichtspunkt interessant, denn da dürften fette Geldbußen fällig werden. Hier noch die Chronologie des Falls:

Datum an dem das Leck entdeckt wurde: 3. Januar 2020
Datum der Benachrichtigung der Firma (PussyCash & ImLive): 4. Januar 2020
Data Amazon benachrichtigt: 7. Januar 2020
Datum der Antwort von ImLive: 7. Januar 2020
Datum der Aktion: 9. Januar 2020

Der Anbieter PussyCash (und deren Datenschutzbeauftragten) hat bisher wohl überhaupt nicht auf die Meldungen der Sicherheitsforscher reagiert, wie sie hier schreiben. Lediglich ImLive hat schließlich auf eine unserer E-Mails geantwortet und erklärt, dass sie sich darum kümmern und die Informationen an das technische Team von PussyCash weiterleiten würden. Weitere Details lassen sich im vpnMentor-Artikel nachlesen.


Anzeige

Dieser Beitrag wurde unter Sicherheit abgelegt und mit , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

11 Antworten zu PussyCash-Datenleck betrifft Tausende Erotik-Modelle weltweit

  1. Dietmar sagt:

    Vorletzter Absatz: "Leck Datum" in dem Zusammenhang. *ROFL*

  2. Peter sagt:

    Tja Günni, nu isset raus! Jetzt weiß jeder über dein zweites Standbein Bescheid! :D

    • Günter Born sagt:

      Hätte ich mich nur bei PussyCash angemeldet – die hauen wirklich richtig Geld für Webmaster raus (wie ich die Nacht gelernt habe). Aber ich habe ja keinen Ami-Führerschein – und zum Model tauge ich auch nicht mehr – wäre eher geschäftsschädigend ;-).

  3. Egal sagt:

    Andorra ist kein EU-Staat, also ist es auch kein DSGVO-Fall.

    • Dietmar sagt:

      DSGVO gilt immer sobald personenbezogene Daten von Personen aus EU-Ländern verarbeitet werden.

    • Günter Born sagt:

      Danke für den Hinweis – hatte nicht explizit recherchiert. Aber neben dem Hinweis von Dietmar: Lies dir einfach mal den Artikel hier durch. Die EU-Kommission hat Andorra auf die Ausnahmeliste der Nicht-EU-Staaten gesetzt, die ein angemessenes Datenschutzniveau gewährleisten, so dass man mit Dienstleistern dort Daten austauschen könnte. Könnte nun noch auf eine juristische Spitzfindigkeit hinauslaufen, wenn da GDPR-Strafen nicht umsetzbar wären, weil es kein EU-Staat wäre. Das wäre ein Sargnagel für Andorra – imho.

      • Dekre sagt:

        Ich habe zuerst auch gezögert mit Andorra. Andorra ist ein Sonderfall, so wie Monaco. Frankreich übernimmt offiziell den militärischen Schutz und Spanien hilft auch administrativ.

        Dietmar hat recht, das Verfahren gegen Microsoft als US-Unternehmen lässt grüßen. Aber vielleicht hat Trump wieder mit Zöllen gedroht und die EU gibt auf.

        Unabhängig davon gibt es bei Verstößen gegen DSGVO dann Bußgelder und deren Verteilung erfolgt nach Gutdünken, sog. gesetzlich geregelte Korruption.

        Na ja, alles andere Themen zum eigentlichen Datenleck oder vielleicht doch nicht? Nichts ist im Internet sicher. Bei so was freut sich auch der Fiskus, wenn er schnell war.

  4. Uwe sagt:

    Das Internet ist sicher! Die Cloud ist sicher! Die elektronische Patientenakte kommt … der Datenaustausch ist sicher … Siehe Fall Praxis Bereich Hannover … Oh, Tante Erna hat ne künstliche Hüfte, die Sabine hat sich den Hintern formen lassen, oh oui, der Erni will ne OP zur Frau …

  5. Günter Born sagt:

    Ha, eine Geldstrafe außerhalb des Taschengeld-Tarifs könnte solche Sites treffen. Ich mag nicht die Moralkeule schwingen – das Thema tangiert mich (abseits des Datenlecks nicht). Aber gerade auf diesen Tweet gestoßen, wo eine Site nach einem Urteil (wegen krimineller Machenschaften) und einer Geldstrafe offline ging.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.

Du findest den Blog gut, hast aber Werbung geblockt? Du kannst diesen Blog auch durch eine Spende unterstützen.