Неверно настроенный облачный сервер подвергает опасности 66000 геймеров

Исследовательская группа WizCase обнаружила широко открытый сервер с нулевым шифрованием и без защиты паролем с помощью простого поиска. Он был прослежен до VIPGames.com, популярной платформы бесплатных карточных и настольных игр, которую скачали в Google Play 100 000 человек, и примерно 20 000 активных игроков ежедневно по всему миру.

Разработчик сайта, Casualino JSC, использует несколько похожих игровых платформ, включая VIPSpades.com, VIPBelote.fr, Belot.bg, VIPJalsat.com и VIPBaloot.com.

В результате утечки данных было украдено более 30 ГБ данных, в том числе 23 миллиона записей. Исследователи отобрали 66000 профилей пользователей, включая:

• имена пользователей,
• электронные письма,
• сведения об устройстве,
• IP-адреса,
• хешированные пароли,
• идентификаторы Facebook, Twitter и Google,
• данные внутриигровых транзакций,
• ставки и сведения о заблокированных игроках.

Пароли были хешированы с использованием алгоритма Bcrypt, чтобы их можно было использовать для открытия других сайтов и учетных записей, используемых теми же игроками.

Исследователи предупредили, что, если бы злоумышленник нашел раскрытые данные, он мог бы создать убедительные фишинговые атаки по электронной почте или телефону, используя обширную личную информацию в этих профилях.

В WizCase прокомментировали:

«Хакер может получить адрес электронной почты заблокированного пользователя и идентификаторы социальных сетей, а затем использовать причину запрета для вымогательства или даже мести. Например, игрока, которого забанили за возможное педофильское поведение, так его можно обманом вывести на физическую встречу с линчевателями.

Если пользователя забанили за эксгибиционизм, кто-то, кто знает его адрес электронной почты или учетные записи в социальных сетях, может угрожать разоблачением.

Кроме того, данные баны в конечном итоге остаются на усмотрение модераторов, личная репутация заблокированного игрока может быть испорчена, если обвинение было необоснованным».

Пользователям рекомендуется не использовать пароли повторно и использовать диспетчер паролей, быть осторожными с нежелательными телефонными звонками и не отвечать на подозрительные электронные письма.