国内上市公司近2000万条用户数据疑似泄露

前情回顾·网络威胁态势

• 国内知名地图软件厂商8亿条核心数据遭非法爬取

• 国内知名送餐机器人曝安全漏洞：可监控机器人 任意修改任务

• VMware ESXi严重漏洞威胁全球大量服务器，国内超1700台受影响

• 曝光：国内某打印机官方软件感染窃密木马超半年

安全内参5月25日消息，在21世纪，几乎没有人能完全避免数据泄露。即便是原本强调线下沉浸体验的街机游戏，也可能导致你的数据被泄露到互联网。外媒Cybernews的研究人员在3月19日发现3台暴露在公网的服务器，经分析称其中存储着华立科技（Wahlap）用户的数据。

华立科技总部位于广州，2021年创业板上市，是全球最大的街机制造商之一，其合作伙伴包括世嘉、Warehouse of Games、Timezone等游戏行业巨头。

泄露数据疑涉及微信小程序，总数据量近2000万条

研究人员认为，这些暴露的服务器集群中包含来自微信生态系统的用户详细信息。

根据分析，这些数据极有可能是通过华立科技的微信小程序泄露的。基于泄露的数据，研究人员推测，华立科技部署这些小程序的主要目的是让用户为游戏支付费用。

图：泄露数据样本

共有1890万条记录暴露在互联网上，涉及华立科技会员标识符、游戏行为数据、资产信息、消费者快照以及应用日志。

研究人员表示：“至少从理论上讲，此次华立科技数据泄露可能使恶意行为者构建详细且精准的用户画像，从而实施高度定向的欺诈和社会工程学攻击。”

Cybernews已联系华立科技。在问题被发现数天后，这组暴露的服务器已无法再被公众访问。

哪些数据被泄漏？

泄露的数据存储在一个由华立科技拥有、由3台服务器组成的Elasticsearch集群中。许多组织和企业使用Elasticsearch，是因为其支持快速排序以及近实时的数据搜索功能。

暴露的信息大致可分为5类索引：

• 华立科技会员数据

• 会员游戏行为数据

• 华立科技资产数据

• 消费者快照数据

• 其他索引

图：泄露数据样本

其中，第一类“华立科技会员数据”规模最大，超过10GB。在近790万条暴露的用户数据记录中，包括：

• 660万个唯一Union ID

• 170万个唯一手机号

• 2.4万条包含出生日期和全名的记录

Union ID是微信提供的唯一用户标识符，在同一账号下的多个应用之间保持一致。它允许开发者在不同小程序、公众号或移动应用之间识别同一用户，从而实现统一用户画像和跨平台数据追踪。

研究人员表示：“这些记录还包含能够揭示华立科技生态系统内部用户ID的数据，涉及不同小程序以及特定游戏的注册日期。”

更令人担忧的是，其中约有3800条记录涉及未成年华立科技用户的个人身份信息。

第二类“会员游戏行为数据”包含490MB数据，共计130万条记录，其中至少涉及29.5万个唯一Union ID。

研究人员表示：“这些索引还包含用户收藏地点、最近访问的街机设备位置，以及特定游戏的游玩频率和整体活跃度等信息。”

第三类“华立科技资产数据”包含超过1.4GB的数据，涉及近200万条记录，其中包括196万个Union ID，以及用户拥有的优惠券信息，例如ID、到期日期和优惠券数量。目前尚无法确认，这些ID究竟与可使用的优惠券绑定，还是仅作为内部系统标识符存在。

“消费者快照”索引及其他索引中，还包含另外770万个Union ID以及应用日志。

图片来源：Cybernews。

虽然目前尚未发现威胁行为者利用这些泄露数据的证据，但既然研究人员能够在线发现这些数据，其他别有用心的人也很可能已经发现。恶意行为者运营着数十亿个机器人程序，在互联网上持续搜索暴露的数据，并自动将其窃取到自己的服务器中。

如果这些数据落入不法分子之手，此次华立科技数据泄露可能会进一步增加受影响用户面临的网络安全风险，尤其是在网络钓鱼和社会工程学攻击方面。掌握位置信息后，攻击者甚至可能对用户进行跟踪和画像分析。

参考资料：https://cybernews.com/security/wahlap-arcade-game-maker-data-leak-wechat/

声明：本文来自安全内参，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。