VIPGames.com是一個(gè)免費(fèi)的游戲平臺(tái)，共有56款經(jīng)典棋牌游戲供玩家使用，如Hearts、Crazy Eights、Euchre、Dominoes、Backgammon等，該網(wǎng)站最近卻泄露了數(shù)千萬(wàn)名用戶的個(gè)人資料。

根據(jù)WizCase的最新報(bào)告，由于云端設(shè)備配置錯(cuò)誤，總共有超過6.6萬(wàn)名用戶的2300萬(wàn)條信息被泄露。除了有桌面用戶，VIPGames也有移動(dòng)玩家用戶，它的應(yīng)用程序安裝包，僅從Google Play商店下載的次數(shù)就超過了10萬(wàn)次。

該網(wǎng)站和其他發(fā)生泄露事故的網(wǎng)站一樣，這些公司都是由于沒有正確配置云端設(shè)備，從而給客戶帶來了災(zāi)難性的后果。

由Ata Hackl領(lǐng)導(dǎo)的WizCase研究團(tuán)隊(duì)通過定期掃描互聯(lián)網(wǎng)上開放的服務(wù)器，發(fā)現(xiàn)有敏感的個(gè)人信息泄露出來，同樣，任何網(wǎng)絡(luò)犯罪者也都可以發(fā)現(xiàn)這些漏洞。

報(bào)告解釋說，網(wǎng)絡(luò)犯罪分子特別青睞于在線游戲玩家的個(gè)人信息。

泄露的數(shù)據(jù)很危險(xiǎn)

WizCase報(bào)告解釋道："在線游戲賬戶中包含了用戶的個(gè)人信息、交易細(xì)節(jié)和游戲習(xí)慣等。這些機(jī)密信息為網(wǎng)絡(luò)犯罪分子提供了一個(gè)很高的利潤(rùn)空間，游戲平臺(tái)經(jīng)常會(huì)遭到黑客的多重攻擊，來自競(jìng)爭(zhēng)平臺(tái)的攻擊，玩家針對(duì)平臺(tái)內(nèi)其他玩家的攻擊等等。"

WizCase表示，在這起案件中，該網(wǎng)站錯(cuò)誤配置的服務(wù)器泄露了超過30GB的數(shù)據(jù)，其中包含2300萬(wàn)條個(gè)人記錄，包括用戶名、電子郵件、IP地址、哈希密碼、Facebook、Twitter和Google ID、賭注，甚至包括被平臺(tái)封禁的玩家數(shù)據(jù)。

報(bào)告解釋說："這些泄露的數(shù)據(jù)文件中的每一條數(shù)據(jù)不僅信息本身有價(jià)值，而且還可以推測(cè)出其他敏感的信息，例如，從玩家ID中，攻擊者可能會(huì)找到玩家的電子郵件地址，IP地址和哈希密碼，這對(duì)于那些被封禁的玩家來說特別重要。"

報(bào)道還稱，VIPGames.com的用戶條款中詳細(xì)說明了玩家會(huì)因?yàn)椴涣夹袨榛蜃鞅锥黄脚_(tái)封殺，而被泄露的記錄中包括了每個(gè)違規(guī)用戶的違規(guī)細(xì)節(jié)。

WizCase表示："其中包括一些潛在的戀童癖。"被泄露的數(shù)據(jù)除了可能會(huì)對(duì)用戶造成身份盜竊、密碼泄露、網(wǎng)絡(luò)釣魚詐騙、惡意軟件等威脅外，還有可能發(fā)生勒索事件。

Threatpost聯(lián)系了VIPGames.com進(jìn)行評(píng)論，但尚未收到回復(fù)。

這次泄露事件雖然令人震驚，但這也只是那些由于未合理配置云端設(shè)備造成數(shù)據(jù)泄露的眾多事件中的一個(gè)事件。

配置不當(dāng)?shù)脑圃O(shè)施無處不在

去年9月份，高端游戲裝備公司Razer在類似的Elasticsearch云集群上存儲(chǔ)的約10萬(wàn)名用戶的個(gè)人數(shù)據(jù)被泄露。

同月，發(fā)現(xiàn)有70個(gè)成人交友網(wǎng)站在一個(gè)不安全的Elasticsearch服務(wù)器上存儲(chǔ)了敏感的個(gè)人數(shù)據(jù)。比如性偏好等信息，此次事件泄露了超過3.2億條個(gè)人記錄。

4月，Key Ring數(shù)字錢包應(yīng)用泄露了4400萬(wàn)條客戶記錄，包括身份證、收費(fèi)卡、忠誠(chéng)度卡、禮品卡和會(huì)員卡，這些數(shù)據(jù)在亞馬遜網(wǎng)絡(luò)服務(wù)S3服務(wù)器內(nèi)被竊取。而在去年夏天，由于使用了不安全的亞馬遜網(wǎng)絡(luò)服務(wù)存儲(chǔ)器，Joomla泄露了2700名注冊(cè)Joomla資源社區(qū)的用戶的數(shù)據(jù)。

據(jù)Palo Alto Networks的Unit 42估計(jì)，大約60%的違規(guī)事件是由于公共云配置錯(cuò)誤造成的。

Unit 42團(tuán)隊(duì)的威脅情報(bào)副總裁Ryan Olson解釋說，雖然86%的公司都部署了云應(yīng)用，但只有34%的公司有 "單點(diǎn)登錄(SSO)解決方案，這表明目前公司的云安全狀況和理想的云安全環(huán)境之間仍然存在巨大的差距"。

至于用戶，專家們認(rèn)為在線安全的基本原則是越謹(jǐn)慎越好，WizCase建議，當(dāng)心你分享的內(nèi)容，不點(diǎn)擊可疑的電子郵件或鏈接，養(yǎng)成良好的密碼使用習(xí)慣。該公司還建議使用VPN服務(wù)來確保位置信息的安全，在跟上行業(yè)最新技術(shù)發(fā)展的同時(shí)，設(shè)備上要安裝合適的防病毒軟件。

Bitglass的CTO Anurag Kahol通過電子郵件表示："云端技術(shù)的普及使公司能夠輕松地?cái)U(kuò)展現(xiàn)有的設(shè)備，隨著越來越多的公司采用云端的工具來獲取競(jìng)爭(zhēng)優(yōu)勢(shì)，云應(yīng)用的使用率也在逐步提高。然而，大多數(shù)組織并不具備處理云安全需求的能力。"

本文翻譯自：https://threatpost.com/gamer-records-exposed-vipgames-leak/163352/