MMO 游戏 Street Mobste 泄露 190 万用户数据，SQLi 漏洞曝光

CyberNews.com调查小组发现了Street Mobster的一个严重漏洞，这是一款基于浏览器的大型多人在线游戏，由保加利亚开发公司BigMage Studios开发。

Street Mobster是黑手党帝国类型中的一种免费的，基于浏览器的在线游戏，玩家可以在其中管理虚构的犯罪活动。该游戏拥有1.9+百万玩家基础，并存储用户记录数据库，威胁参与者可以通过在游戏网站上进行SQL Injection（SQLi）攻击来访问该数据库。

BigMage Studios创作的其他游戏也可能容易受到相同类型的攻击，这意味着有更多用户面临风险的可能性。

利用Street Mobster中的SQLi漏洞可能会破坏的记录可能包括玩家的用户名，电子邮件地址和密码，以及存储在数据库中的其他与游戏相关的数据。

幸运的是，在我们向BigMage Studios，CERT Bulgaria和保加利亚数据保护机构报告了该漏洞之后，开发人员已解决了该问题，潜在的攻击者不再可以访问用户数据库。

什么是SQL注入？

SQLi最早发现于1998年，被开放Web应用程序安全项目（OWASP）视为第一大Web应用程序安全风险。

尽管此漏洞相对容易修复，但研究人员发现，到2020年，仍有8％的网站和Web应用程序容易受到SQLi攻击。从安全角度来看，这是不可原谅的。事实如此，以至于英国互联网服务提供商TalkTalk因屈服于涉及SQLi的网络攻击而受到创纪录的40万英镑罚款。

该漏洞通过将意外的有效负载（一段代码）注入网站上或其URL地址的输入框中而起作用。网站服务器不是读取文本作为URL的一部分，而是读取攻击者的有效载荷作为代码，然后继续执行攻击者的命令或输出未经授权的其他人无法访问的数据。攻击者可以通过将代码甚至恶意软件上传到易受攻击的服务器来进一步利用SQLi。

Street Mobster容易受到SQLi攻击的事实清楚地表明，BigMage Studios的开发人员对基本安全实践感到失望和危险。

我们如何发现此漏洞

我们的安全团队在Street Mobster网站上发现了SQL注入漏洞，并能够通过在网站URL上执行简单的命令注入测试来确认该漏洞。CyberNews团队没有从易受攻击的Street Mobster数据库中提取任何数据。

该漏洞有什么影响？

易受攻击的Street Mobster数据库中的数据可以通过多种方式与暴露其信息的玩家进行比较：

• 通过在Street Mobster的服务器上注入恶意负载，攻击者可以潜在地访问该服务器，从而可以在游戏网站上安装恶意软件并对访问者造成伤害-从使用玩家的设备挖掘加密货币到将其重定向到其他恶意网站。安装恶意软件等。
• 数据库中存储的190万用户凭据可以使攻击者的用户电子邮件地址和密码成为可能，他们可以将其潜在地用于凭据填充攻击，从而在Steam或其他在线服务等其他游戏平台上入侵玩家的帐户。
• 由于Street Mobster是一款包含微交易的免费游戏，因此不法分子也可以通过在黑市网站上出售被黑的玩家帐户来赚很多钱。

如果您受到影响该怎么办？

如果您拥有Street Mobster帐户，请确保立即更改密码，并使其尽可能复杂。如果您在任何其他网站或服务上都使用过Street Mobster密码，请也更改该密码。这样可以防止潜在的攻击者在尝试将您的密码重新用于凭据填充攻击时访问这些网站上的帐户。

但是，最终由BigMage Studios完全保护您的Street Mobster帐户免受SQLi等攻击。

BigMage Studios的披露和缺乏沟通

按照我们的漏洞披露指南，我们于2020年8月31日通知BigMage Studios有关泄漏的信息。但是，我们没有收到任何回复。我们的后续电子邮件也未得到回复。

然后，我们于9月11日联系保加利亚CERT，以确保网站安全。CERT联系了BigMage Studios，并将配置错误通知了公司。

在整个披露过程中，BigMage Studios对广播保持沉默，并拒绝与CyberNews.com联系。由于这个原因，我们还于10月9日将这一事件通知了保加利亚数据保护机构，希望该机构能够向该公司施加压力，要求其解决该问题。

但是，最终，BigMage Studios似乎已修复了streetmobster.com上的SLQi漏洞，而没有通知CyberNews.com或CERT Bulgaria。