Game MMO Street Mobster membocorkan Information 1,9 juta pengguna karena kerentanan kritis – Western Gambling Industry News

Waktu Membaca: 3 menit

Penyerang dapat mengeksploitasi kelemahan SQL Injection untuk membobol database sport dan mencuri information pengguna.

Tim Investigasi CyberNews.com menemukan kerentanan kritis di Street Mobster, sport online masif multipemain berbasis browser yang dibuat oleh perusahaan pengembang Bulgaria BigMage Studios.

Road Mobster adalah game online berbasis browser gratis untuk dimainkan dalam genre kerajaan mafia tempat pemain mengelola perusahaan kriminal fiksi. Gim ini memiliki lebih dari 1,9 juta foundation pemain dan menyimpan foundation data catatan pengguna yang dapat diakses oleh pelaku ancaman dengan melakukan serangan SQL Injection (SQLi) di situs net gim.

Game lain yang dibuat oleh BigMage Studios juga berpotensi rentan terhadap jenis serangan yang sama, yang berarti ada kemungkinan semakin banyak pengguna yang berisiko.

Catatan yang dapat disusupi dengan mengeksploitasi kerentanan SQLi di Street Mobster berpotensi mencakup nama pengguna, alamat e mail, dan kata sandi pemain, serta information terkait sport lainnya yang disimpan di database.

Untungnya, setelah kami melaporkan kerentanan ke BigMage Studios, CERT Bulgaria, dan otoritas perlindungan info Bulgaria, masalah tersebut telah diperbaiki oleh programmer dan database pengguna tidak lagi dapat diakses oleh calon penyerang.

Apa itu SQL Injection?

Pertama kali ditemukan pada tahun 1998, SQLi dianggap oleh Proyek Keamanan Aplikasi Internet Terbuka (OWASP) sebagai risiko keamanan aplikasi net nomor satu.

Meskipun kerentanan ini relatif mudah diperbaiki, peneliti menemukan bahwa 8 percent situs net dan aplikasi net masih rentan terhadap serangan SQLi pada tahun 2020. Yang, dari perspektif keamanan, tidak dapat dimaafkan. Faktanya, penyedia layanan net Inggris, TalkTalk, dipukul dengan rekor denda Number 400. 000 karena menyerah pada serangan dunia maya yang melibatkan SQLi.

Kerentanan tersebut bekerja dengan memasukkan muatan yang tidak terduga (sepotong kode) ke dalam kotak masukan di situs internet atau di alamat URL-nya. Alih-alih membaca teks sebagai bagian dari URL, server situs net membaca muatan penyerang sebagai kode dan kemudian melanjutkan untuk mengeksekusi perintah penyerang atau information keluaran yang tidak dapat diakses oleh pihak yang tidak berwenang. Penyerang dapat mengeksploitasi SQLi lebih jauh dengan mengunggah potongan kode atau bahkan malware ke server yang rentan.

Fakta bahwa Street Mobster rentan terhadap serangan SQLi dengan jelas menunjukkan pengabaian praktik keamanan dasar yang mengecewakan dan berbahaya dari pihak pengembang di BigMage Studios.

Bagaimana kami menemukan kerentanan ini

Tim keamanan kami mengidentifikasi kerentanan Injeksi SQL di situs internet Street Mobster dan dapat mengonfirmasi kerentanan tersebut dengan melakukan uji injeksi perintah sederhana di URL situs web. Tim CyberNews tidak mengekstrak information apa pun dari resource Road Mobster yang rentan.

Apa dampak dari kerentanan?

Information dalam database Street Mobster yang rentan dapat digunakan dengan berbagai cara untuk melawan pemain yang informasinya terungkap:

Dengan menyuntikkan muatan berbahaya di host Road Mobster, penyerang berpotensi mendapatkan akses ke host tersebut, di mana mereka dapat menginstal malware di situs internet game dan menyebabkan kerugian bagi pengunjung – dari menggunakan perangkat pemain untuk menambang cryptocurrency hingga mengarahkan mereka ke situs net jahat lainnya. , memasang perangkat lunak perusak, dan banyak lagi.

1,9 juta kredensial pengguna yang disimpan di database dapat menjaring alamat email dan kata sandi pengguna penyerang, yang berpotensi dapat mereka gunakan untuk serangan isian kredensial untuk meretas akun pemain di platform sport lain seperti Steam atau layanan online lainnya.

Karena Street Mobster adalah gim gratis untuk dimainkan yang menggabungkan transaksi mikro, pelaku kejahatan juga dapat menghasilkan banyak uang dari menjual akun pemain yang diretas di situs net pasar abu-abu.

Apa yang harus dilakukan jika Anda terpengaruh?

Jika Anda memiliki akun Street Mobster, pastikan untuk segera mengubah kata sandi dan membuatnya serumit mungkin. Jika Anda telah menggunakan kata sandi Street Mobster Anda di situs internet atau layanan lain, ubah kata sandi itu juga. Ini akan mencegah calon penyerang mengakses akun Anda di situs web ini jika mereka mencoba menggunakan kembali kata sandi Anda untuk serangan isian kredensial.

Namun, pada akhirnya terserah BigMage Studios untuk sepenuhnya mengamankan akun Street Mobster Anda dari serangan seperti SQLi.

Pengungkapan dan kurangnya komunikasi dari BigMage Studios

Mengikuti pedoman pengungkapan kerentanan, kami memberi tahu BigMage Studios tentang kebocoran pada 31 Agustus 2020. Namun, kami tidak menerima balasan. Mail tindak lanjut kami juga tidak dijawab.

Kami kemudian menghubungi CERT Bulgaria pada 11 September untuk membantu mengamankan situs net. CERT menghubungi BigMage Studios dan memberi tahu perusahaan tentang kesalahan konfigurasi tersebut.

Selama proses pengungkapan, BigMage Studios tetap diam di radio dan menolak untuk menghubungi CyberNews.com. Karena alasan ini, kami juga memberi tahu lembaga perlindungan information Bulgaria tentang insiden pada 9 Oktober dengan harapan lembaga tersebut dapat menekan perusahaan untuk memperbaiki masalah tersebut.

Namun, akhirnya, BigMage Studios tampaknya telah memperbaiki kerentanan SLQi di streetmobster.com, tanpa memberi tahu CyberNews.com atau CERT Bulgaria tentang fakta itu.

Sumber