超过350万返现网使用者达2TB的敏感信息泄漏到了暗网上。

英国网站 PouringPounds.com 和印度姊妹网站 CashKaro.com公开的数据 包括银行详细信息、全名、手机号码、电子邮件地址、纯文本密码和用户名、IP地址等。这两个站点均归PouringPounds Ltd.所有。

黑客和网络安全专家阿努拉格·森(Anurag Sen)领导的一群安全侦探研究人员发现了 这种双重 漏洞。研究人员在托管于弹性服务器上的公开数据库中发现了敏感数据,没有任何密码保护。

该发现是在正在进行的符合道德规范的“安全侦探”网络制图项目的执行期间进行的,该项目旨在在线识别漏洞和数据泄露并通知相关人员,以提高在线安全性。

研究人员写道:“弹性服务器在没有任何密码保护的情况下公开暴露。在特定端口上进行搜索,任何人都可以轻松找到它并恶意利用它。据我们所知,该服务器自2019年8月9日以来就已暴露。”

数据泄漏Cashkaro.comPouringpounds.com
全名
手机号码
电子邮件地址
登录用户名
纯文本密码
与帐户关联的银行详细信息
个人用户的IP地址
公司发给用户的电子邮件
完全访问用户帐户

随着安全侦探对其进行调查,暴露的敏感信息数据库继续增长,每天显示该天的日志以及前六天。

研究人员写道:“不良行为者可以轻松地开设一个帐户并找到相关的现金返还信用额度,该信用额度可以轻松地转移到任何PayPal地址。您需要执行的交易就是密码,再次,我们以纯文本形式提供。”

Sen于9月4日将这一违规行为告知了PouringPounds Ltd,但未收到任何回应。经过多次尝试与该公司联系后,Sen终于在9月21日收到回音。该数据库已被安全存储了六周,这一天后来已得到保护。

安全侦探公司的一位发言人说:“有些公司总是否认或试图使泄漏最小化。” “尽管有些公司通过及时确保违规行为做出了很好的反应,但其他公司的反应却不够迅速,当最终陷入困境时,往往会否认违规行为或将其影响最小化以维护声誉。”

https://www.infosecurity-magazine.com/news/cashback-websites-double-breach/

声明:本文来自红数位,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。