由于一臺Elasticsearch服務器配置錯誤，導致其中存儲的6.6萬名用戶的個人數(shù)據(jù)被泄露。研究人員發(fā)現(xiàn)越來越多的公司的云端服務器存在數(shù)據(jù)泄露的風險。

VIPGames.com是一個免費的游戲平臺，共有56款經(jīng)典棋牌游戲供玩家使用，如Hearts、Crazy Eights、Euchre、Dominoes、Backgammon等，該網(wǎng)站最近卻泄露了數(shù)千萬名用戶的個人資料。

根據(jù)WizCase的最新報告，由于云端設備配置錯誤，總共有超過6.6萬名用戶的2300萬條信息被泄露。除了有桌面用戶，VIPGames也有移動玩家用戶，它的應用程序安裝包，僅從Google Play商店下載的次數(shù)就超過了10萬次。

該網(wǎng)站和其他發(fā)生泄露事故的網(wǎng)站一樣，這些公司都是由于沒有正確配置云端設備，從而給客戶帶來了災難性的后果。 

研究團隊通過定期掃描互聯(lián)網(wǎng)上開放的服務器，發(fā)現(xiàn)有敏感的個人信息泄露出來，同樣，任何網(wǎng)絡犯罪者也都可以發(fā)現(xiàn)這些漏洞。報告解釋說，網(wǎng)絡犯罪分子特別青睞于在線游戲玩家的個人信息。

泄露的數(shù)據(jù)很危險

WizCase報告解釋道："在線游戲賬戶中包含了用戶的個人信息、交易細節(jié)和游戲習慣等。這些機密信息為網(wǎng)絡犯罪分子提供了一個很高的利潤空間，游戲平臺經(jīng)常會遭到黑客的多重攻擊，來自競爭平臺的攻擊，玩家針對平臺內其他玩家的攻擊等等。"

WizCase表示，在這起事件中，該網(wǎng)站錯誤配置的服務器泄露了超過30GB的數(shù)據(jù)，其中包含2300萬條個人記錄，包括用戶名、電子郵件、IP地址、哈希密碼、Facebook、Twitter和Google ID、賭注，甚至包括被平臺封禁的玩家數(shù)據(jù)。

據(jù)報告顯示："這些泄露的數(shù)據(jù)文件中的每一條數(shù)據(jù)不僅信息本身有價值，而且還可以推測出其他敏感的信息，例如，從玩家ID中，攻擊者可能會找到玩家的電子郵件地址，IP地址和哈希密碼，這對于那些被封禁的玩家來說特別重要。"報道還稱，VIPGames.com的用戶條款中詳細說明了玩家會因為不良行為或作弊而被平臺封殺，而被泄露的記錄中包括了每個違規(guī)用戶的違規(guī)細節(jié)。

WizCase表示："其中包括一些潛在的戀童癖。"被泄露的數(shù)據(jù)除了可能會對用戶造成身份盜竊、密碼泄露、網(wǎng)絡釣魚詐騙、惡意軟件等威脅外，還有可能發(fā)生勒索事件。

Threatpost聯(lián)系了VIPGames.com進行評論，但尚未收到回復。

這次泄露事件雖然令人震驚，但這也只是那些由于未合理配置云端設備造成數(shù)據(jù)泄露的眾多事件中的一個事件。

配置不當?shù)脑圃O施無處不在

去年9月份，高端游戲裝備公司Razer在類似的Elasticsearch云集群上存儲的約10萬名用戶的個人數(shù)據(jù)被泄露。

同月，發(fā)現(xiàn)有70個成人交友網(wǎng)站在一個不安全的Elasticsearch服務器上存儲了敏感的個人數(shù)據(jù)。比如性偏好等信息，此次事件泄露了超過3.2億條個人記錄。

4月，Key Ring數(shù)字錢包應用泄露了4400萬條客戶記錄，包括身份證、收費卡、忠誠度卡、禮品卡和會員卡，這些數(shù)據(jù)在亞馬遜網(wǎng)絡服務S3服務器內被竊取。而在去年夏天，由于使用了不安全的亞馬遜網(wǎng)絡服務存儲器，Joomla泄露了2700名注冊Joomla資源社區(qū)的用戶的數(shù)據(jù)。

據(jù)Palo Alto Networks的Unit 42估計，大約60%的違規(guī)事件是由于公共云配置錯誤造成的。

Unit 42團隊的威脅情報副總裁Ryan Olson解釋說，雖然86%的公司都部署了云應用，但只有34%的公司有 "單點登錄(SSO)解決方案，這表明目前公司的云安全狀況和理想的云安全環(huán)境之間仍然存在巨大的差距"。 

至于用戶，專家們認為在線安全的基本原則是越謹慎越好，WizCase建議，當心你分享的內容，不點擊可疑的電子郵件或鏈接，養(yǎng)成良好的密碼使用習慣。該公司還建議使用VPN服務來確保位置信息的安全，在跟上行業(yè)最新技術發(fā)展的同時，設備上要安裝合適的防病毒軟件。 

Bitglass的CTO Anurag Kahol通過電子郵件表示："云端技術的普及使公司能夠輕松地擴展現(xiàn)有的設備，隨著越來越多的公司采用云端的工具來獲取競爭優(yōu)勢，云應用的使用率也在逐步提高。然而，大多數(shù)組織并不具備處理云安全需求的能力。"

原文鏈接：https://www.4hou.com/posts/lX76

及時掌握網(wǎng)絡安全態(tài)勢 盡在傻蛋網(wǎng)絡安全監(jiān)測系統(tǒng)

【網(wǎng)絡安全監(jiān)管部門】免費試用

本文來源:4hou.com

如涉及侵權，請及時與我們聯(lián)系，我們會在第一時間刪除或處理侵權內容。
電話：400-869-9193 負責人：張明