电竞知识库Liquipedia的用户通过一个可以公开访问且无需密码的MongoDB数据库泄露出来,Cybernews研究团队发现了这个问题。在研究人员通知Liquipedia的管理员后,数据库已经被关闭。Liquipedia是一个关于各种视频游戏的百科全书,涵盖了从历史到战术的方方面面。该平台由Team Liquid创立和运营,Team Liquid是一家总部位于荷兰的职业电竞组织,属于e-sports和游戏服务提供商aXiomatic Gaming旗下。
据研究人员称,泄露的信息揭示了一个身份验证服务器,其中包含Liquipedia用户的登录详细信息以及Liquipedia管理员的身份验证详细信息。然而,根据Cybernews的道德准则,研究团队没有访问该服务器。
我们联系了Liquipedia以寻求评论,但在发布前没有收到回复。泄露信息的一部分存储在一个称为"user"的集合中,占用77MB的空间,其中包含近11.9万名用户的数据。泄露的Liquipedia用户详细信息包括:
用户ID
用户邮箱
邮箱验证状态
双重身份验证状态
账户创建日期
研究人员表示:“泄露的信息可能被用于欺诈活动,危及电竞组织和其用户群体的安全和声誉。”除了用户信息,管理员级别的详细信息也存储在名为"clients"的集合中。泄露的信息包括社交媒体凭证、授权访问环境的敏感信息片段以及私有RSA密钥。RSA(Rivest–Shamir–Adleman)是一种用于安全数据传输的加密系统。研究人员认为,这些秘密和私有RSA密钥被用于验证管理员对Liquipedia的Reddit、Discord、Twitch和X账户的访问。
我们的团队在十月底联系了Liquipedia。该公司在当天回复并立即关闭了错误配置的MongoDB实例。
作为创始者的Liquipedia所属的Team Liquid是世界上最负盛名的电竞组织之一,拥有超过20年的经验。该团队参加多个分部比赛,包括Fortnite、Counter-Strike 2、Dota 2、League of Legends、StarCraft II、World of Warcraft等。
原文始发于微信公众号(黑猫安全):Team Liquid的维基泄露曝光了11.8万名用户
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论