VIPGames.com是一个免费的游戏平台,共有56款经典棋牌游戏供玩家使用,如Hearts、Crazy Eights、Euchre、Dominoes、Backgammon等,该网站最近却泄露了数千万名用户的个人资料。
根据WizCase的最新报告,由于云端设备配置错误,总共有超过6.6万名用户的2300万条信息被泄露。除了有桌面用户,VIPGames也有移动玩家用户,它的应用程序安装包,仅从Google Play商店下载的次数就超过了10万次。
该网站和其他发生泄露事故的网站一样,这些公司都是由于没有正确配置云端设备,从而给客户带来了灾难性的后果。
由Ata Hackl领导的WizCase研究团队通过定期扫描互联网上开放的服务器,发现有敏感的个人信息泄露出来,同样,任何网络犯罪者也都可以发现这些漏洞。
报告解释说,网络犯罪分子特别青睐于在线游戏玩家的个人信息。
泄露的数据很危险
WizCase报告解释道:"在线游戏账户中包含了用户的个人信息、交易细节和游戏习惯等。这些机密信息为网络犯罪分子提供了一个很高的利润空间,游戏平台经常会遭到黑客的多重攻击,来自竞争平台的攻击,玩家针对平台内其他玩家的攻击等等。"
WizCase表示,在这起案件中,该网站错误配置的服务器泄露了超过30GB的数据,其中包含2300万条个人记录,包括用户名、电子邮件、IP地址、哈希密码、Facebook、Twitter和Google ID、赌注,甚至包括被平台封禁的玩家数据。
报告解释说:"这些泄露的数据文件中的每一条数据不仅信息本身有价值,而且还可以推测出其他敏感的信息,例如,从玩家ID中,攻击者可能会找到玩家的电子邮件地址,IP地址和哈希密码,这对于那些被封禁的玩家来说特别重要。"
报道还称,VIPGames.com的用户条款中详细说明了玩家会因为不良行为或作弊而被平台封杀,而被泄露的记录中包括了每个违规用户的违规细节。
WizCase表示:"其中包括一些潜在的恋童癖。"被泄露的数据除了可能会对用户造成身份盗窃、密码泄露、网络钓鱼诈骗、恶意软件等威胁外,还有可能发生勒索事件。
Threatpost联系了VIPGames.com进行评论,但尚未收到回复。
这次泄露事件虽然令人震惊,但这也只是那些由于未合理配置云端设备造成数据泄露的众多事件中的一个事件。
配置不当的云设施无处不在
去年9月份,高端游戏装备公司Razer在类似的Elasticsearch云集群上存储的约10万名用户的个人数据被泄露。
同月,发现有70个成人交友网站在一个不安全的Elasticsearch服务器上存储了敏感的个人数据。比如性偏好等信息,此次事件泄露了超过3.2亿条个人记录。
4月,Key Ring数字钱包应用泄露了4400万条客户记录,包括身份证、收费卡、忠诚度卡、礼品卡和会员卡,这些数据在亚马逊网络服务S3服务器内被窃取。而在去年夏天,由于使用了不安全的亚马逊网络服务存储器,Joomla泄露了2700名注册Joomla资源社区的用户的数据。
据Palo Alto Networks的Unit 42估计,大约60%的违规事件是由于公共云配置错误造成的。
Unit 42团队的威胁情报副总裁Ryan Olson解释说,虽然86%的公司都部署了云应用,但只有34%的公司有 "单点登录(SSO)解决方案,这表明目前公司的云安全状况和理想的云安全环境之间仍然存在巨大的差距"。
至于用户,专家们认为在线安全的基本原则是越谨慎越好,WizCase建议,当心你分享的内容,不点击可疑的电子邮件或链接,养成良好的密码使用习惯。该公司还建议使用VPN服务来确保位置信息的安全,在跟上行业最新技术发展的同时,设备上要安装合适的防病毒软件。
Bitglass的CTO Anurag Kahol通过电子邮件表示:"云端技术的普及使公司能够轻松地扩展现有的设备,随着越来越多的公司采用云端的工具来获取竞争优势,云应用的使用率也在逐步提高。然而,大多数组织并不具备处理云安全需求的能力。"
本文翻译自:https://threatpost.com/gamer-records-exposed-vipgames-leak/163352/
