O BetVictor Divulgou uma Lista de Senhas para o Seu Sistema Interno na Plataforma de Apostas

BetVictor

A Copa do Mundo da FIFA está em pleno andamento no momento, o que significa que os fãs de futebol (ou futebol) estão recebendo 96 horas do belo jogo em pouco mais de um mês. São 64 jogos em 32 dias, e os fãs não são os únicos animados. As casas de apostas também estão de mãos dadas, esperando receitas e lucros recordes. No entanto, para as pessoas que administram o BetVictor, uma plataforma de apostas on-line com sede em Gibraltar, as coisas são um pouco diferentes porque foi descoberto que até pouco tempo atrás, o site deles estava deixando bastante informação extremamente sensível completamente exposta.

Um Erro Bobo Mostra como os Agentes de Atendimento ao Cliente da BetVictor são Treinados

Os dados foram encontrados pelo pesquisador de segurança Chris Hogben, que estava visitando o site da BetVictor da mesma maneira que um usuário comum. Em seu blog, Hogben disse que estava tendo alguns problemas com a plataforma e estava tentando resolvê-los. Ele encontrou a seção da base de conhecimento e começou a usar a caixa de pesquisa para encontrar as respostas para suas perguntas.

Ele acabou olhando coisas que não deveria estar olhando. Foi um artigo que dizia aos agentes de atendimento ao cliente como lidar com várias consultas vindas dos clientes. A captura de tela publicada por Hogben mostra alguns truques criados para acalmar os usuários insatisfeitos do BetVictor, na esperança de que eles abandonem suas ideias de cancelar um serviço específico.

É seguro supor que documentos semelhantes fazem parte do treinamento de agentes de atendimento ao cliente em muitas empresas, mas eles tendem a ser compartilhados apenas entre os funcionários. Alguém no BetVictor (involuntariamente ou não) os deixou expostos, o que é embaraçoso. O segundo erro de segurança do apostador on-line não é embaraçoso. É perigoso.

Os Grandes Problemas

Hogben ficou intrigado com a natureza pública dos documentos de treinamento de atendimento ao cliente e ficou imaginando o que mais a caixa de pesquisa poderia revelar. Ele digitou "admin" e viu alguns resultados preocupantemente relevantes.

Havia um documento que, apesar do rótulo "Interno", era visível para quem sabia o que procurar. Continha um total de 27 URLs vinculados aos sistemas internos de negociação e emissão de bilhetes do BetVictor, além de uma entrada para o serviço de verificação de identidade Experian. Ele também continha 19 combinações de nome de usuário e senha, algumas das quais aparentemente deveriam ser usadas nos URLs mencionados acima.

Chris Hogben tentou as 27 URLs e descobriu que 22 delas poderiam ser visitadas de qualquer lugar do mundo.

Um Exemplo Chocante de Gerenciamento de Senha

Hogben não testou as credenciais de login porque isso seria ilegal. Tendo descoberto eles em um local público, no entanto, não havia nada para impedi-lo de analisá-los.

Cinco das senhas eram idênticas ou quase idênticas ao nome de usuário fornecido e 11 delas estavam disponíveis no banco de dados de senhas Pwned de Troy Hunt. Parece que a pessoa responsável pelo gerenciamento dessas senhas cometeu alguns erros bastante básicos. Dificilmente ideal quando você considera o fato de que eles estão trabalhando para uma plataforma de apostas usada por mais de meio milhão de pessoas.

E enquanto estamos no assunto de coisas que não são perfeitas, o tratamento do problema pelo BetVictor deixou muito a desejar também.

Ainda não Sabemos o Tamanho do Incidente.

A comunicação entre Chris Hogben e BetVictor mostra que os representantes da empresa não eram muito falantes. Perguntados pela mídia, eles disseram que os documentos internos, que faziam parte de uma seção de ajuda ao atendimento ao cliente, foram removidos. Eles também disseram que uma investigação está em andamento.

O que eles não disseram é se alguma informação do usuário pode ser roubada dos sistemas internos que foram deixados de fora. Temos certeza de que as pessoas responsáveis pela aplicação dos novos regulamentos GDPR da UE também ficariam felizes em ouvir isso.

O BetVictor Teve Sorte

Não há evidências de que alguém com más intenções ponha as mãos nas credenciais de login e nos URLs internos e os use para causar danos, por isso é seguro dizer que as pessoas no BetVictor podem respirar aliviadas. Os usuários, no entanto, não podem fazer isso.

Todo o fiasco mostra como algumas empresas são desleixadas quando se trata de lidar com informações confidenciais.

Por Duran
February 25, 2020
News
Portuguese
February 25, 2020
News

Postagens Populares

Microsoft alerta que atores de ameaças apoiados pelo Estado...

4 days atrás

Detecção de Malware Trojan Al11

11 months atrás

Pinaview é um aplicativo de adware completo

10 months atrás

Pop-ups "Seu iCloud está sendo invadido" e "Seu iPhone foi...

7 months atrás

O que é Lucky Ransomware?

7 months atrás

Golpe de e-mail 'American Express - Atualize as informações da...

6 months atrás
Portuguese
Carregando…

Detalhes e Termos de Backup do Cyclonis

O plano Básico do Backup Gratuito do Cyclonis oferece 2 GB de espaço de armazenamento na nuvem com funcionalidade total! Não é necessário cartão de crédito. Precisa de mais espaço de armazenamento? Compre um plano maior do Backup do Cyclonios agora! Para saber mais sobre nossas políticas e preços, consulte os Termos de Serviço, Política de Privacidade, os Termos de Desconto e a Página de Compra. Se você deseja desinstalar o aplicativo, visite a página Instruções de Desinstalação.

Detalhes e Termos do Gerenciador de Senhas do Cyclonis

Teste GRATUITO: Oferta Única de 30 Dias! Nenhum cartão de crédito será necessário para o teste gratuito. Funcionalidade completa durante o período de avaliação gratuita. (A funcionalidade completa após a Avaliação Gratuita requer a compra deaassinatura.) Para saber mais sobre nossas políticas e preços, consulte o CLUF, a Política de Privacidade, os Termos de Desconto e a Página de Compra. Se você deseja desinstalar o aplicativo, visite a página Instruções de Desinstalação.

Página Inicial

Produtos

Cyclonis Backup Cyclonis Password Manager Cyclonis World Time

Suporte

Arquivos de Ajuda PFs Downloads Perguntas e Suporte

Empresa

Sobre Nos Contate-Nos Denuncie Abuso

Legal (Post Merger)

EnigmaSoft Limited (fka Cyclonis Limited)

Cyclonis Backup's Terms of Service Cyclonis Password Manager's EULA Cyclonis World Time's Terms of Service Política de Privacidade Política dos Cookies Special Discount Offer Terms Additional Terms & Conditions CLUF do SpyHunter CLUF do RegHunter Política de Privacidade e Política de Cookies do EnigmaSoft Política de Privacidade e Política de Cookies do ESG Termos da Oferta de Desconto do EnigmaSoft Termos da Oferta de Desconto do ESG

© 2017-2024 Cyclonis Ltd. CYCLONIS is a trademark of EnigmaSoft Limited (Cyclonis was merged into EnigmaSoft Limited effective November 25, 2023.) All rights reserved.

Registered Office EnigmaSoft Limited: 1 Castle Street, 3rd Floor, Dublin 2 D02 XD82, Ireland.
EnigmaSoft Limited, Private Company Limited by shares, Company Registration Number 597114.

Windows é uma marca comercial da Microsoft, registrada nos Estados Unidos e em outros países.
Mac, iPhone, iPad e App Store são marcas comerciais da Apple Inc., registradas nos Estados Unidos e em outros países.
iOS é uma marca registrada da Cisco Systems, Inc. e/ou de suas afiliadas nos Estados Unidos e em alguns outros países.
Android e Google Play são marcas comerciais da Google LLC.