有意为之or无心之举?在线视频下载器配置错误暴露了1500多万条用户数据
2024-5-24 15:5:54 Author: mp.weixin.qq.com(查看原文) 阅读量:3 收藏

Dirpy系统配置错误,导致用户的IP地址和下载内容被泄露,其中包括露骨内容。3 月24日,Cybernews研究团队发现了一个属于在线视频下载器Dirpy的开放Kibana实例。Dirpy在日本和美国拥有最大的用户群,提供主要用于YouTube和成人网站的在线视频下载服务。由于存在许多服务提供商,因此此类平台的法律地位仍处于灰色地带。虽然未经版权所有者许可从YouTube或其他平台下载视频通常是违法的,但出于个人非商业用途下载视频仍然是合法的。这一泄露事件再次警示,互联网上的每一个动作都会留下痕迹。强烈建议使用VPN或安全代理服务,因为它消除了网络地址和个人身份信息之间的联系。

Dirpy是什么?

Dirpy是一项免费在线服务,可为几乎所有YouTube视频提供可下载链接。如果您所在的位置屏蔽了BitTorrent,或者您觉得下载BitTorrent存在风险,Dirpy可能是您寻找所需音乐的绝佳方式。简单之美在于易于使用,因为Dirpy是一款Web应用程序,无需安装任何程序,并且可在大多数互联网浏览器上运行。

尽管这项服务的合法性值得怀疑,但在线视频下载的需求量仍然巨大。仅Dirpy的平台每月就有200万访问者,这意味着不良的网络安全措施可能会影响大量个人。

Cybernews研究团队发现,Dirpy视频下载器未能在其Kibana上正确设置身份验证,导致包含1570万条私人数据的日志泄露。

泄露的数据包括:

  • 用户IP地址

  • 高级用户帐户ID

  • 包含下载内容的活动日志,包括露骨内容

  • 请求内容的URL

  • 用户诊断信息

活动日志显示用户正在下载NSFW内容

Kibana是一款开源数据可视化工具,用于创建交互式仪表板。它提供强大的搜索和查询功能,支持实时数据监控并生成报告。

Kibana的这些特性导致Dirpy的用户数据被实时泄露,直到实例被关闭。团队联系该公司后,对实例的访问得到了保障。研究显示,Dirpy 的数据可在2024年3月18日至4月 24日期间获取。

一旦Kibana实例暴露在互联网上并且不受身份验证保护,任何人(包括威胁行为者)都可以访问它,他们可以轻松地将泄露的数据用于恶意目的。

Cybernews已联系Dirpy,请其就该事件发表官方评论,但尚未收到任何评论。

活动日志扩展为显示用户IP和诊断信息

露骨内容下载日志被泄露

这次泄露是一个令人担忧的重要原因,因为它暴露了下载视频的日志,包括链接到他们下载内容的用户IP地址。下载的内容很大一部分来自成人网站,泄露了用户的敏感信息,例如性取向、习惯和兴趣。

由于该服务的免费版本可供任何人使用,无需创建账户,因此此次泄露的影响有所减弱。但是,无论有没有账户,IP地址都已暴露,构成风险。IP可能用于识别用户,以及粗略位置,在某些情况下,还可以识别精确位置。

当前的泄露事件清楚地提醒人们在使用在线服务时务必谨慎。互联网上的每一个动作都会留下痕迹。强烈建议使用VPN或安全代理服务,因为它消除了网络地址和个人身份信息之间的联系。

Dirpy泄露的活动日志
Dirpy下载系统配置错误,绝非个案。更不确定的是,这是有意为之,还是无心之举?
参考资源:
1.https://cybernews.com/security/online-video-downloader-dirpy-data-leak/
2.https://www.groovypost.com/howto/howto/how-to-download-any-youtube-song-or-video-with-dirpy-review/
原文来源:网空闲话plus
“投稿联系方式:010-82992251   [email protected]


文章来源: https://mp.weixin.qq.com/s?__biz=MzkyMzAwMDEyNg==&mid=2247544013&idx=3&sn=407b6e0c32ed92bc4d27672351635360&chksm=c1e9a09cf69e298ab004e5059dd627d98383f55127bd57a0a43097264400412d1983ef891304&scene=58&subscene=0#rd
如有侵权请联系:admin#unsafe.sh