Cricketsocial.com 平台的数据库在线开放

admin 2023年1月7日13:45:17安全工具评论2 views724字阅读2分24秒阅读模式

Cricketsocial.com 平台的数据库在线开放

Cricketsocial.com,是为在线板球社区开发的社交平台。CyberNews发现该平台使用的数据库是在线开放的,其中包含大量数据。

板球社区的社交平台暴露了超过10万个私人客户数据和凭据条目。该数据库由美国的亚马逊网络服务(AWS)托管,包含管理员凭据和私人客户数据,包括电子邮件,电话号码,姓名,散列用户密码,出生日期和地址。专家们注意到,数据库中的大多数记录似乎是测试数据,但是,专家们发现它还包括合法网站用户的个人身份信息(PII)。存储在数据库中的数据包括帖子、评论、点赞数以及保存在 AWS 存储桶上的图像链接。

“即使存储的所有信息都是测试数据,将数据保留为明文也是采用不良安全实践的尖锐迹象。如果不加以控制,这将给不健全的做法潜入生产环境带来不必要的风险。网络新闻研究人员说。

专家们发现,该数据库还暴露了网站管理员帐户的明文凭据,这些信息可能允许攻击者接管该平台。以明文形式存储密码是一种不好的做法,在针对基础架构时可能会使威胁参与者受益

专家们还发现了 cricketsocial.com 拥有的数据库的第二个开放实例,其中包含第一个数据库中发现的所有相同类型的信息。然而,第二个数据库要小得多,可能是因为它是开发和质量保证环境的一部分。

专家警告说,威胁行为者可以使用多种工具来区分测试数据和真实数据。“即使存储的所有信息都是测试数据,将数据保留为明文也是采用不良安全实践的尖锐迹象。如果不加以控制,这将给不健全的做法潜入生产环境带来不必要的风险,“研究人员总结道。“信息可以出售以获得大量资金。威胁行为者以后可能会将此信息用于身份盗用或垃圾邮件。


原文始发于微信公众号(黑猫安全):Cricketsocial.com 平台的数据库在线开放

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2023年1月7日13:45:17
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  Cricketsocial.com 平台的数据库在线开放 http://cn-sec.com/archives/1500398.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: