freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

博彩巨头BetVictor泄露了自己内部系统的密码列表
2018-07-03 01:18:29

screen-shot-2018-06-26-at-12-13-20-pm.png

近日,据外媒报道称,一个受欢迎的博彩平台在其网站上泄露了内部系统的密码列表,可供任何人查看。

这家博彩网站就是总部位于直布罗陀的BetVictor,目前,该网站已经删除了包含用户名和密码在内的后台系统链接列表的两页文件。

据悉,安全研究人员Chris Hogben是通过该公司主页上的客户支持搜索框找到了这些文件,该客户支持弹出框允许用户搜索该网站的问答知识库。Hogben在接受采访时表示,

“登录/链接到后台办公室(Back Offices)-内部(Internal),通过文档标题显示,其中包含超过20个公司交易平台、票务系统和Experian身份验证服务的密码。”

此外,Hogben还发现,这些文件通常都是弱密码和易于猜测的密码,甚至有些密码就位于Pwned Passwords数据集中,所谓“Pwned Passwords”正是“have i been pwned?”网站站长Troy Hunt推出的一项历史泄漏密码查询服务,用户可以搜索某个密码是否曾经泄漏过,或者直接下载整个库——约3.06亿个密码,用来保护自己的账号体系。

目前还不清楚这些文件究竟在线暴露了多长时间,但是据Hogben所言,这些文件最早可以追溯到2015年。此外,Hogben还在其发布的博文中警告称,其他内部文件也可以通过面向公众的客户支持框来获取。通过访问这些系统中的任何一个,就可以访问到敏感的公司信息,甚至可能访问特定用户的数据。

帮助披露该安全漏洞的研究人员Scott Helme警告称,

“在发现的文件中有两个包含用户名和密码的广泛组合,它们看起来像公司使用的各种后端和管理系统。由于每个系统的URL也包含其中,所以攻击者只需要收集这些证书就能够登录到系统之中。谁也不知道这将赋予他们何种访问权限,哪些数据可用,以及可能造成何种损害。”

在得知此次数据泄露的事实后,BetVictor公司已经在第一时间将存在问题的客户支持系统下线。其发言人表示,

“我们目前仍在与第三方给供应商调查此事,所以无法回答任何具体问题。”

最后,对于“公司是否已经更改了密码”等问题,该公司也没有给予任何进一步回应。

*参考来源:zdnet,米雪儿编译整理,转载请注明来自 FreeBuf.COM

# BetVictor
本文为 独立观点,未经允许不得转载,授权请联系FreeBuf客服小蜜蜂,微信:freebee2022
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏
相关推荐
  • 0 文章数
  • 0 关注者