Wyciek danych w VIPGames[.]com

Dane osobowe 66.000 użytkowników były dostępne na źle skonfigurowanym serwerze Elasticsearch.

W wyniku błędnej konfiguracji chmury wyciekło +23,000,000 rekordów ponad 66.000 użytkowników. Poza użytkownikami stacjonarnymi, VIPGames posiada również graczy mobilnych, w tym poprzez aplikację, która została pobrana ze sklepu Google Play ponad 100,000 razy.

Szczególnie niebezpieczne są źle zabezpieczone chmury w których hostowane są dane graczy.
„Gry online łączą dane osobowe użytkowników, szczegóły transakcji i nawyki związane z grami. Ta mieszanka poufnych informacji tworzy lukratywne warunki do wykorzystania przez cyberprzestępców” – czytamy w raporcie WizCase. „Platformy gamingowe rutynowo doświadczają wielu ataków ze strony hakerów, sabotażu ze strony konkurencyjnych platform, ataków wewnątrz-platformowych ze strony graczy celujących w połączenia internetowe rywalizujących użytkowników i nie tylko”.

W tym przypadku wyciekło ponad 30 GB danych zawierających 23 miliony indywidualnych rekordów, w tym nazwy użytkowników, e-maile, adresy IP, hashowane hasła, identyfikatory Facebooka, Twittera i Google, zakłady, a nawet dane o graczach, którzy zostali zbanowani na platformie, opublikował w komunikacuie WizCase.

„Każdy z tych zestawów danych jest nie tylko cenny sam w sobie, ale może być również wykorzystany do mapowania innych informacji” – wyjaśniono w raporcie. „Na przykład, na podstawie identyfikatorów graczy, możliwe jest, aby atakujący zlokalizował adres e-mail gracza, adres IP i hash’owane hasło, co jest szczególnie istotne w przypadku zbanowanych graczy”.

W raporcie napisano również, że warunki korzystania z VIPGames.com określają w jakich przypadkach gracze mogą zostać zablokowani na platformie – dotyczy to między innyni – „złego zachowania lub oszukiwania”. Niestety ujawnione zapisy zawierały również szczegóły każdego wykroczenia.

„Niektóre z nich dotyczyły potencjalnej pedofilii i ekshibicjonizmu,” poinformował WizCase, dodając potencjalny szantaż do listy zagrożeń, jakie ujawnione dane stwarzały dla użytkowników, oprócz kradzieży tożsamości, łamania haseł, oszustw phishingowych, złośliwego oprogramowania i innych.