Luscious is een niche pornowebsite waar gebruikers zelfgemaakt materiaal kunnen uploaden en delen met elkaar evenals blogs. Door de anonieme insteek van de website postten gebruikers zeer gevoelige informatie en blogs. Helaas bleek de website niet zo goed beveiligd waardoor malafide hackers makkelijk bij de achterliggende database konden komen.

Onbeveiligd en onversleuteld

Het lek is ontdekt door beveiligingsonderzoekers van VPNMentor. De database met gebruikersgegevens zou niet bereikbaar moeten zijn van buitenaf, maar door het manipuleren van de URL kregen de onderzoekers toch toegang tot de database. Deze bleek verder niet alleen onbeveiligd te zijn, maar was zelfs niet versleuteld, waardoor de inhoud moeiteloos gekopieerd en uitgelezen kon worden.

De database bevat onder andere gebruikersnamen, e-mail adressen, geslacht, locatie en activiteitenlogs, waaronder de hoeveelheid gecreëerde albums, video-uploads, comments, blogposts, favorieten, volgers en gebruikersID.

Het viel de beveiligingsonderzoekers vooral op dat er behoorlijk wat gebruikers zijn die hun officiële e-mailadres gebruiken waardoor zij zeer makkelijk te identificeren zijn sommigen gingen daarin zelfs zo ver dat zij het e-mailadres van hun werkgever gebruikten. Dit maakt het voor kwaadwillenden extra makkelijk om gebruikers te chanteren

Het lek is inmiddels gedicht, maar de kans is groot dat de gelekte informatie al wordt misbruikt. Gebruikers wordt aangeraden accountgegevens zo snel mogelijk aan te passen en een niet makkelijk identificeerbaar adres te gebruiken.