快捷搜索:  网络  后门  CVE  渗透  木马  扫描  黑客  as

博彩巨头BetVictor泄露了本人内部体系的暗码列表

screen-shot-2018-06-26-at-12-13-20-pm.png

近日,据外媒报导称,一个受欢迎的博彩平台在其网站上泄露了内部体系的暗码列表,可供任何人查看。

这家博彩网站就是总部位于直布罗陀的BetVictor,目前,该网站已经删除了包含用户名以及暗码在内的后台体系链接列表的两页文件。

据悉,安全研究人员Chris Hogben是通过该公司主页上的客户支持搜索框找到了这些文件,该客户支持弹出框允许用户搜索该网站的问答知识库。Hogben在接受采访时表示,

“登录/链接到后台办公室(Back Offices)-内部(Internal),通过文档标题显示,其中包含超过20个公司交易平台、票务体系以及Experian身份验证服务的暗码。”

此外,Hogben还发现,无线黑客,这些文件通常都是弱暗码以及易于猜测的暗码,甚至有些暗码就位于Pwned Passwords数据集中,所谓“Pwned Passwords”恰是“have i been pwned?”网站站长Troy Hunt推出的一项历史泄漏暗码查询服务,用户可以搜索某个暗码是否曾经泄漏过,或者直接下载全部库——约3.06亿个暗码,用来维护本人的账号系统。

目前还不清楚这些文件事其实线暴露了多长时间,然则据Hogben所言,这些文件最早可以追溯到2015年。此外,Hogben还在其发布的博文中正告称,其他内部文件也能够通过面向公众的客户支持框来获取。通过走访这些体系中的任何一个,就可以走访到敏感的公司信息,甚至可能走访特定用户的数据。

帮助表露该安全漏洞的研究人员Scott Helme正告称,

“在发现的文件中有两个包含用户名以及暗码的广泛组合,它们看起来像公司使用的种种后端以及治理体系。由于每一个体系的URL也包含其中,所以攻击者只要要网络这些证书就能够登录到体系当中。谁也不知道这将赋予他们何种走访权限,哪些数据可用,和可能造成何种损害。”

在得知此次数据泄露的究竟后,BetVictor公司已经在第一时间将存在问题的客户支持体系下线。其发言人表示,

“我们目前仍在与第三方给供应商调查此事,所以没法归答任何详细问题。”

最后,对于“公司是否已经更改了暗码”等问题,该公司也没有给予任何进一步归应。

*参考来源:zdnet,米雪儿编译收拾整理,

您可能还会对下面的文章感兴趣: