BetVictor在投注平台上洩露了其內部系統的密碼列表
目前,FIFA世界杯正在全面展開,這意味著足球(或足球)球迷將在短短一個多月的時間內完成96小時的精彩比賽。這是32天內的64場比賽,球迷並不是唯一感到興奮的人。博彩公司也在搓手,期待創紀錄的收入和利潤。對於運營總部設在直布羅陀的在線投注平台BetVictor的人來說,事情有點不同,因為人們發現,直到不久之前,他們的網站仍然留下了相當多的極其敏感的信息。
Table of Contents
一個愚蠢的錯誤表明BetVictor的客戶服務代理是如何接受培訓的
這些數據是由安全研究員Chris Hogben發現的,他以與普通用戶相同的方式訪問BetVictor的網站。在他的博客文章中 ,Hogben說他在使用該平台時遇到了一些問題並試圖解決它們。他找到了知識庫部分並開始使用搜索框來查找他的問題的答案。
他最終看到了他本不應該看的東西。這篇文章告訴客戶服務代理如何處理來自客戶的各種查詢。 Hogben發布的截圖顯示了一些旨在平息BetVictor不滿意用戶的技巧,希望他們放棄取消特定服務的想法。
可以安全地假設類似的文檔是許多公司的客戶服務代理培訓的一部分,但它們往往只在員工之間共享。 BetVictor的某個人(無意或無意)讓他們暴露在外,令人尷尬。然而,在線博彩公司的第二次安全失誤並不令人尷尬。這很危險。
大問題
Hogben對客戶服務培訓文檔的公共性質很感興趣,他想知道搜索框還能揭示什麼。他輸入了“admin”,看到了一些令人擔憂的相關結果。
有一份文件儘管有“內部”標籤,但任何知道搜索內容的人都可以看到。它包含總共27個鏈接到BetVictor 內部票務和交易系統的 URL ,以及Experian身份驗證服務的條目。它還包含19個用戶名和密碼組合 ,其中一些顯然用於上述URL。
Chris Hogben嘗試了27個URL,發現其中22個可以從世界上任何地方訪問過。
令人震驚的密碼管理的一個例子
Hogben沒有測試登錄憑據,因為那將是非法的。然而,在公共場所發現它們之後,沒有什麼可以阻止他分析它們。
其中5個密碼與他們附帶的用戶名相同或幾乎相同,其中11個密碼在Troy Hunt的Pwned Passwords數據庫中可用。似乎負責管理這些密碼的人犯了一些非常基本的錯誤。當你考慮到他們正在為超過五十萬人使用的投注平台工作這一事實時,這是非常理想的。
雖然我們談論的事情並不完美,但BetVictor對這個問題的處理還有很多不足之處。
我們仍然不知道事件有多大
Chris Hogben和BetVictor之間的溝通表明公司的代表不是很健談. 在媒體的詢問下,他們確實已經刪除了作為客戶服務幫助部分一部分的內部文檔。他們還表示正在進行調查。
他們沒有說的是,是否有任何用戶信息可能會從公開的內部系統中被竊取。我們非常確定負責執行歐盟新的GDPR規定的人員也很樂意聽到這一點。
BetVictor很幸運
沒有證據表明某人有不良意圖獲取登錄憑據和內部URL並使用它們實際造成損害,因此可以肯定地說BetVictor的人可以鬆一口氣。但是,用戶無法做到這一點。
整個慘敗表明一些公司在處理敏感信息方面有多麼草率。
