Cricketsocial.com 平台的数据库在线开放

Cricketsocial.com，是为在线板球社区开发的社交平台。CyberNews发现该平台使用的数据库是在线开放的，其中包含大量数据。

板球社区的社交平台暴露了超过10万个私人客户数据和凭据条目。该数据库由美国的亚马逊网络服务（AWS）托管，包含管理员凭据和私人客户数据，包括电子邮件，电话号码，姓名，散列用户密码，出生日期和地址。专家们注意到，数据库中的大多数记录似乎是测试数据，但是，专家们发现它还包括合法网站用户的个人身份信息（PII）。存储在数据库中的数据包括帖子、评论、点赞数以及保存在 AWS 存储桶上的图像链接。

“即使存储的所有信息都是测试数据，将数据保留为明文也是采用不良安全实践的尖锐迹象。如果不加以控制，这将给不健全的做法潜入生产环境带来不必要的风险。网络新闻研究人员说。

专家们发现，该数据库还暴露了网站管理员帐户的明文凭据，这些信息可能允许攻击者接管该平台。以明文形式存储密码是一种不好的做法，在针对基础架构时可能会使威胁参与者受益

专家们还发现了 cricketsocial.com 拥有的数据库的第二个开放实例，其中包含第一个数据库中发现的所有相同类型的信息。然而，第二个数据库要小得多，可能是因为它是开发和质量保证环境的一部分。

专家警告说，威胁行为者可以使用多种工具来区分测试数据和真实数据。“即使存储的所有信息都是测试数据，将数据保留为明文也是采用不良安全实践的尖锐迹象。如果不加以控制，这将给不健全的做法潜入生产环境带来不必要的风险，“研究人员总结道。“信息可以出售以获得大量资金。威胁行为者以后可能会将此信息用于身份盗用或垃圾邮件。

原文始发于微信公众号（黑猫安全）：Cricketsocial.com 平台的数据库在线开放