VIPGames.com是一個免費的游戲平臺,共有56款經(jīng)典棋牌游戲供玩家使用,如Hearts、Crazy Eights、Euchre、Dominoes、Backgammon等,該網(wǎng)站最近卻泄露了數(shù)千萬名用戶的個人資料。
根據(jù)WizCase的最新報告,由于云端設(shè)備配置錯誤,總共有超過6.6萬名用戶的2300萬條信息被泄露。除了有桌面用戶,VIPGames也有移動玩家用戶,它的應(yīng)用程序安裝包,僅從Google Play商店下載的次數(shù)就超過了10萬次。
該網(wǎng)站和其他發(fā)生泄露事故的網(wǎng)站一樣,這些公司都是由于沒有正確配置云端設(shè)備,從而給客戶帶來了災(zāi)難性的后果。
由Ata Hackl領(lǐng)導(dǎo)的WizCase研究團隊通過定期掃描互聯(lián)網(wǎng)上開放的服務(wù)器,發(fā)現(xiàn)有敏感的個人信息泄露出來,同樣,任何網(wǎng)絡(luò)犯罪者也都可以發(fā)現(xiàn)這些漏洞。
報告解釋說,網(wǎng)絡(luò)犯罪分子特別青睞于在線游戲玩家的個人信息。
泄露的數(shù)據(jù)很危險
WizCase報告解釋道:"在線游戲賬戶中包含了用戶的個人信息、交易細(xì)節(jié)和游戲習(xí)慣等。這些機密信息為網(wǎng)絡(luò)犯罪分子提供了一個很高的利潤空間,游戲平臺經(jīng)常會遭到黑客的多重攻擊,來自競爭平臺的攻擊,玩家針對平臺內(nèi)其他玩家的攻擊等等。"
WizCase表示,在這起案件中,該網(wǎng)站錯誤配置的服務(wù)器泄露了超過30GB的數(shù)據(jù),其中包含2300萬條個人記錄,包括用戶名、電子郵件、IP地址、哈希密碼、Facebook、Twitter和Google ID、賭注,甚至包括被平臺封禁的玩家數(shù)據(jù)。
報告解釋說:"這些泄露的數(shù)據(jù)文件中的每一條數(shù)據(jù)不僅信息本身有價值,而且還可以推測出其他敏感的信息,例如,從玩家ID中,攻擊者可能會找到玩家的電子郵件地址,IP地址和哈希密碼,這對于那些被封禁的玩家來說特別重要。"
報道還稱,VIPGames.com的用戶條款中詳細(xì)說明了玩家會因為不良行為或作弊而被平臺封殺,而被泄露的記錄中包括了每個違規(guī)用戶的違規(guī)細(xì)節(jié)。
WizCase表示:"其中包括一些潛在的戀童癖。"被泄露的數(shù)據(jù)除了可能會對用戶造成身份盜竊、密碼泄露、網(wǎng)絡(luò)釣魚詐騙、惡意軟件等威脅外,還有可能發(fā)生勒索事件。
Threatpost聯(lián)系了VIPGames.com進(jìn)行評論,但尚未收到回復(fù)。
這次泄露事件雖然令人震驚,但這也只是那些由于未合理配置云端設(shè)備造成數(shù)據(jù)泄露的眾多事件中的一個事件。
配置不當(dāng)?shù)脑圃O(shè)施無處不在
去年9月份,高端游戲裝備公司Razer在類似的Elasticsearch云集群上存儲的約10萬名用戶的個人數(shù)據(jù)被泄露。
同月,發(fā)現(xiàn)有70個成人交友網(wǎng)站在一個不安全的Elasticsearch服務(wù)器上存儲了敏感的個人數(shù)據(jù)。比如性偏好等信息,此次事件泄露了超過3.2億條個人記錄。
4月,Key Ring數(shù)字錢包應(yīng)用泄露了4400萬條客戶記錄,包括身份證、收費卡、忠誠度卡、禮品卡和會員卡,這些數(shù)據(jù)在亞馬遜網(wǎng)絡(luò)服務(wù)S3服務(wù)器內(nèi)被竊取。而在去年夏天,由于使用了不安全的亞馬遜網(wǎng)絡(luò)服務(wù)存儲器,Joomla泄露了2700名注冊Joomla資源社區(qū)的用戶的數(shù)據(jù)。
據(jù)Palo Alto Networks的Unit 42估計,大約60%的違規(guī)事件是由于公共云配置錯誤造成的。
Unit 42團隊的威脅情報副總裁Ryan Olson解釋說,雖然86%的公司都部署了云應(yīng)用,但只有34%的公司有"單點登錄(SSO)解決方案,這表明目前公司的云安全狀況和理想的云安全環(huán)境之間仍然存在巨大的差距"。
至于用戶,專家們認(rèn)為在線安全的基本原則是越謹(jǐn)慎越好,WizCase建議,當(dāng)心你分享的內(nèi)容,不點擊可疑的電子郵件或鏈接,養(yǎng)成良好的密碼使用習(xí)慣。該公司還建議使用VPN服務(wù)來確保位置信息的安全,在跟上行業(yè)最新技術(shù)發(fā)展的同時,設(shè)備上要安裝合適的防病毒軟件。
Bitglass的CTO Anurag Kahol通過電子郵件表示:"云端技術(shù)的普及使公司能夠輕松地擴展現(xiàn)有的設(shè)備,隨著越來越多的公司采用云端的工具來獲取競爭優(yōu)勢,云應(yīng)用的使用率也在逐步提高。然而,大多數(shù)組織并不具備處理云安全需求的能力。"
本文翻譯自:https://threatpost.com/gamer-records-exposed-vipgames-leak/163352/