MMO 游戲 Street Mobste 泄露 190 萬用戶數據，SQLi 漏洞曝光

CyberNews.com調查小組發現了Street Mobster的一個嚴重漏洞，這是一款基于瀏覽器的大型多人在線游戲，由保加利亞開發公司BigMage Studios開發。

Street Mobster是黑手黨帝國類型中的一種免費的，基于瀏覽器的在線游戲，玩家可以在其中管理虛構的犯罪活動。該游戲擁有1.9+百萬玩家基礎，并存儲用戶記錄數據庫，威脅參與者可以通過在游戲網站上進行SQL Injection（SQLi）攻擊來訪問該數據庫。

BigMage Studios創作的其他游戲也可能容易受到相同類型的攻擊，這意味著有更多用戶面臨風險的可能性。

利用Street Mobster中的SQLi漏洞可能會破壞的記錄可能包括玩家的用戶名，電子郵件地址和密碼，以及存儲在數據庫中的其他與游戲相關的數據。

幸運的是，在我們向BigMage Studios，CERT Bulgaria和保加利亞數據保護機構報告了該漏洞之后，開發人員已解決了該問題，潛在的攻擊者不再可以訪問用戶數據庫。

什么是SQL注入？

SQLi最早發現于1998年，被開放Web應用程序安全項目（OWASP）視為第一大Web應用程序安全風險。

盡管此漏洞相對容易修復，但研究人員發現，到2020年，仍有8％的網站和Web應用程序容易受到SQLi攻擊。從安全角度來看，這是不可原諒的。事實如此，以至于英國互聯網服務提供商TalkTalk因屈服于涉及SQLi的網絡攻擊而受到創紀錄的40萬英鎊罰款。

該漏洞通過將意外的有效負載（一段代碼）注入網站上或其URL地址的輸入框中而起作用。網站服務器不是讀取文本作為URL的一部分，而是讀取攻擊者的有效載荷作為代碼，然后繼續執行攻擊者的命令或輸出未經授權的其他人無法訪問的數據。攻擊者可以通過將代碼甚至惡意軟件上傳到易受攻擊的服務器來進一步利用SQLi。

Street Mobster容易受到SQLi攻擊的事實清楚地表明，BigMage Studios的開發人員對基本安全實踐感到失望和危險。

我們如何發現此漏洞

我們的安全團隊在Street Mobster網站上發現了SQL注入漏洞，并能夠通過在網站URL上執行簡單的命令注入測試來確認該漏洞。CyberNews團隊沒有從易受攻擊的Street Mobster數據庫中提取任何數據。

該漏洞有什么影響？

易受攻擊的Street Mobster數據庫中的數據可以通過多種方式與暴露其信息的玩家進行比較：

• 通過在Street Mobster的服務器上注入惡意負載，攻擊者可以潛在地訪問該服務器，從而可以在游戲網站上安裝惡意軟件并對訪問者造成傷害-從使用玩家的設備挖掘加密貨幣到將其重定向到其他惡意網站。安裝惡意軟件等。
• 數據庫中存儲的190萬用戶憑據可以使攻擊者的用戶電子郵件地址和密碼成為可能，他們可以將其潛在地用于憑據填充攻擊，從而在Steam或其他在線服務等其他游戲平臺上入侵玩家的帳戶。
• 由于Street Mobster是一款包含微交易的免費游戲，因此不法分子也可以通過在黑市網站上出售被黑的玩家帳戶來賺很多錢。

如果您受到影響該怎么辦？

如果您擁有Street Mobster帳戶，請確保立即更改密碼，并使其盡可能復雜。如果您在任何其他網站或服務上都使用過Street Mobster密碼，請也更改該密碼。這樣可以防止潛在的攻擊者在嘗試將您的密碼重新用于憑據填充攻擊時訪問這些網站上的帳戶。

但是，最終由BigMage Studios完全保護您的Street Mobster帳戶免受SQLi等攻擊。

BigMage Studios的披露和缺乏溝通

按照我們的漏洞披露指南，我們于2020年8月31日通知BigMage Studios有關泄漏的信息。但是，我們沒有收到任何回復。我們的后續電子郵件也未得到回復。

然后，我們于9月11日聯系保加利亞CERT，以確保網站安全。CERT聯系了BigMage Studios，并將配置錯誤通知了公司。

在整個披露過程中，BigMage Studios對廣播保持沉默，并拒絕與CyberNews.com聯系。由于這個原因，我們還于10月9日將這一事件通知了保加利亞數據保護機構，希望該機構能夠向該公司施加壓力，要求其解決該問題。

但是，最終，BigMage Studios似乎已修復了streetmobster.com上的SLQi漏洞，而沒有通知CyberNews.com或CERT Bulgaria。