Cricketsocial.com 平台的数据库在线开放

admin 2023年1月7日13:45:17评论12 views字数 724阅读2分24秒阅读模式

Cricketsocial.com 平台的数据库在线开放

Cricketsocial.com,是为在线板球社区开发的社交平台。CyberNews发现该平台使用的数据库是在线开放的,其中包含大量数据。

板球社区的社交平台暴露了超过10万个私人客户数据和凭据条目。该数据库由美国的亚马逊网络服务(AWS)托管,包含管理员凭据和私人客户数据,包括电子邮件,电话号码,姓名,散列用户密码,出生日期和地址。专家们注意到,数据库中的大多数记录似乎是测试数据,但是,专家们发现它还包括合法网站用户的个人身份信息(PII)。存储在数据库中的数据包括帖子、评论、点赞数以及保存在 AWS 存储桶上的图像链接。

“即使存储的所有信息都是测试数据,将数据保留为明文也是采用不良安全实践的尖锐迹象。如果不加以控制,这将给不健全的做法潜入生产环境带来不必要的风险。网络新闻研究人员说。

专家们发现,该数据库还暴露了网站管理员帐户的明文凭据,这些信息可能允许攻击者接管该平台。以明文形式存储密码是一种不好的做法,在针对基础架构时可能会使威胁参与者受益

专家们还发现了 cricketsocial.com 拥有的数据库的第二个开放实例,其中包含第一个数据库中发现的所有相同类型的信息。然而,第二个数据库要小得多,可能是因为它是开发和质量保证环境的一部分。

专家警告说,威胁行为者可以使用多种工具来区分测试数据和真实数据。“即使存储的所有信息都是测试数据,将数据保留为明文也是采用不良安全实践的尖锐迹象。如果不加以控制,这将给不健全的做法潜入生产环境带来不必要的风险,“研究人员总结道。“信息可以出售以获得大量资金。威胁行为者以后可能会将此信息用于身份盗用或垃圾邮件。


原文始发于微信公众号(黑猫安全):Cricketsocial.com 平台的数据库在线开放

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2023年1月7日13:45:17
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   Cricketsocial.com 平台的数据库在线开放http://cn-sec.com/archives/1500398.html

发表评论

匿名网友 填写信息