Kitajski razvijalci razkrijejo podatke, ki pripadajo igralcem iger Android

  • Sep 26, 2023

Na koncu so kontaktirali hongkonški CERT, da bi rešili varnostno težavo.

Kitajski razvijalci priljubljenih igralnih aplikacij za Android so prek nezaščitenega strežnika razkrili podatke, ki pripadajo uporabnikom.

Varnost

  • 8 navad zelo varnih delavcev na daljavo
  • Kako najti in odstraniti vohunsko programsko opremo iz telefona
  • Najboljše storitve VPN: Kakšna je primerjava najboljših 5?
  • Kako ugotoviti, ali ste vpleteni v kršitev podatkov – in kaj storiti naprej

notri poročilo Skupina za kibernetsko varnost družbe vpnMentor, ki jo vodita Noam Rotem in Ran Locar, je v skupni rabi z ZDNet razkrila EskyFun kot lastnika 134 GB strežnika, ki je bil razkrit in javno objavljen na spletu.

EskyFun je razvijalec iger za Android, vključno z Rainbow Story: Fantasy MMORPG, Adventure Story, The Legend of the Three Kingdoms in Metamorph M.

V četrtek je ekipa povedala, da so bili uporabniki naslednjih iger vpleteni v uhajanje podatkov: Rainbow Story: Fantasy MMORPG, Metamorph M in Dynasty Heroes: Legends of Samkok. Skupaj predstavljajo več kot 1,6 milijona prenosov.

Skupaj je skupina povedala, da je domnevno 365.630.387 zapisov vsebovalo podatke od junija 2021 dalje, pri čemer so uhajali uporabniški podatki, zbrani v sedemdnevnem tekočem sistemu.

Ekipa pravi, da razvijalci vsiljujejo "agresivne in zelo zaskrbljujoče nastavitve sledenja, analitike in dovoljenj", ko njihova programska oprema se prenese in namesti, zato je bila raznolikost zbranih podatkov morda veliko večja, kot bi pričakovali od mobilnih iger zahtevati.

Zapisi so vključevali številke IP in IMEI, informacije o napravi, telefonske številke, operacijski sistem v uporabi, dnevnike dogodkov mobilne naprave, ne glede na to, ali je bila slušalka rootana ali ne; poročila o nakupih iger in transakcijah, e-poštni naslovi, gesla za račun EskyFun, shranjena v navadnem besedilu, in zahteve za podporo, med drugimi podatki.

vpnMentor

vpnMentor sumi, da so bili morda razkriti podatki do ali več kot milijona uporabnikov.

Nezavarovani strežnik je bil odkrit 5. julija, EskyFun pa je bil kontaktiran dva dni kasneje. Ker pa ni prejel odgovora, je vpnMentor 27. julija ponovno poskusil.

Nadaljnja tišina je zahtevala, da se ekipa obrne tudi na hongkonški CERT in strežnik je bil zavarovan 28. julija.

"Večina teh podatkov je bila neverjetno občutljiva in podjetju za video igre ni bilo treba hraniti tako podrobnih datotek o svojih uporabnikih," so komentirali raziskovalci. "Poleg tega je EskyFun z nezavarovanjem podatkov potencialno izpostavil več kot milijon ljudi goljufijam, vdorom in še veliko hujšemu."

ZDNet se je obrnil na EskyFun in posodobili bomo, ko bomo prejeli odgovor.

Prejšnja in sorodna pokritost

  • Največji vdori, kršitve podatkov leta 2020
  • Napačna konfiguracija Microsoft Power Apps razkrije 38 milijonov podatkovnih zapisov
  • Stroški kršitve podatkov podjetja so med pandemijo COVID-19 dosegli rekordno visoko raven

Imate namig? Varno stopite v stik prek WhatsApp | Signal na +447713 025 499 ali na Keybase: charlie0