BetVictor在投注平台上泄露了其内部系统的密码列表
目前,FIFA世界杯正在全面展开,这意味着足球(或足球)球迷将在短短一个多月的时间内完成96小时的精彩比赛。这是32天内的64场比赛,球迷并不是唯一感到兴奋的人。博彩公司也在搓手,期待创纪录的收入和利润。对于运营总部设在直布罗陀的在线投注平台BetVictor的人来说,事情有点不同,因为人们发现,直到不久之前,他们的网站仍然留下了相当多的极其敏感的信息。
Table of Contents
一个愚蠢的错误表明BetVictor的客户服务代理是如何接受培训的
这些数据是由安全研究员Chris Hogben发现的,他以与普通用户相同的方式访问BetVictor的网站。在他的博客文章中 ,Hogben说他在使用该平台时遇到了一些问题并试图解决它们。他找到了知识库部分并开始使用搜索框来查找他的问题的答案。
他最终看到了他本不应该看的东西。这篇文章告诉客户服务代理如何处理来自客户的各种查询。 Hogben发布的截图显示了一些旨在平息BetVictor不满意用户的技巧,希望他们放弃取消特定服务的想法。
可以安全地假设类似的文档是许多公司的客户服务代理培训的一部分,但它们往往只在员工之间共享。 BetVictor的某个人(无意或无意)让他们暴露在外,令人尴尬。然而,在线博彩公司的第二次安全失误并不令人尴尬。这很危险。
大问题
Hogben对客户服务培训文档的公共性质很感兴趣,他想知道搜索框还能揭示什么。他输入了“admin”,看到了一些令人担忧的相关结果。
有一份文件尽管有“内部”标签,但任何知道搜索内容的人都可以看到。它包含总共27个链接到BetVictor 内部票务和交易系统的 URL ,以及Experian身份验证服务的条目。它还包含19个用户名和密码组合 ,其中一些显然用于上述URL。
Chris Hogben尝试了27个URL,发现其中22个可以从世界上任何地方访问过。
令人震惊的密码管理的一个例子
Hogben没有测试登录凭据,因为那将是非法的。然而,在公共场所发现它们之后,没有什么可以阻止他分析它们。
其中5个密码与他们附带的用户名相同或几乎相同,其中11个密码在Troy Hunt的Pwned Passwords数据库中可用。似乎负责管理这些密码的人犯了一些非常基本的错误。当你考虑到他们正在为超过五十万人使用的投注平台工作这一事实时,这是非常理想的。
虽然我们谈论的事情并不完美,但BetVictor对这个问题的处理还有很多不足之处。
我们仍然不知道事件有多大
Chris Hogben和BetVictor之间的沟通表明公司的代表不是很健谈. 在媒体的询问下,他们确实已经删除了作为客户服务帮助部分一部分的内部文档。他们还表示正在进行调查。
他们没有说的是,是否有任何用户信息可能会从公开的内部系统中被窃取。我们非常确定负责执行欧盟新的GDPR规定的人员也很乐意听到这一点。
BetVictor很幸运
没有证据表明某人有不良意图获取登录凭据和内部URL并使用它们实际造成损害,因此可以肯定地说BetVictor的人可以松一口气。但是,用户无法做到这一点。
整个惨败表明一些公司在处理敏感信息方面有多么草率。