screen-shot-2018-06-26-at-12-13-20-pm.png

近日,据外媒报道称,一个受欢迎的博彩平台在其网站上泄露了内部系统的密码列表,可供任何人查看。

这家博彩网站就是总部位于直布罗陀的BetVictor,目前,该网站已经删除了包含用户名和密码在内的后台系统链接列表的两页文件。

据悉,安全研究人员Chris Hogben是通过该公司主页上的客户支持搜索框找到了这些文件,该客户支持弹出框允许用户搜索该网站的问答知识库。Hogben在接受采访时表示,

“登录/链接到后台办公室(Back Offices)-内部(Internal),通过文档标题显示,其中包含超过20个公司交易平台、票务系统和Experian身份验证服务的密码。”

此外,Hogben还发现,这些文件通常都是弱密码和易于猜测的密码,甚至有些密码就位于Pwned Passwords数据集中,所谓“Pwned Passwords”正是“have i been pwned?”网站站长Troy Hunt推出的一项历史泄漏密码查询服务,用户可以搜索某个密码是否曾经泄漏过,或者直接下载整个库——约3.06亿个密码,用来保护自己的账号体系。

目前还不清楚这些文件究竟在线暴露了多长时间,但是据Hogben所言,这些文件最早可以追溯到2015年。此外,Hogben还在其发布的博文中警告称,其他内部文件也可以通过面向公众的客户支持框来获取。通过访问这些系统中的任何一个,就可以访问到敏感的公司信息,甚至可能访问特定用户的数据。

帮助披露该安全漏洞的研究人员Scott Helme警告称,

“在发现的文件中有两个包含用户名和密码的广泛组合,它们看起来像公司使用的各种后端和管理系统。由于每个系统的URL也包含其中,所以攻击者只需要收集这些证书就能够登录到系统之中。谁也不知道这将赋予他们何种访问权限,哪些数据可用,以及可能造成何种损害。”

在得知此次数据泄露的事实后,BetVictor公司已经在第一时间将存在问题的客户支持系统下线。其发言人表示,

“我们目前仍在与第三方给供应商调查此事,所以无法回答任何具体问题。”

最后,对于“公司是否已经更改了密码”等问题,该公司也没有给予任何进一步回应。

*参考来源:zdnet