20000条用户信息暴露,成人娱乐游戏SinVR现高危漏洞

文章相关引用及参考:映维网

攻击者可以利用相关的信息对用户进行勒索

映维网 2018年01月15日)SinVR是一款专为用户提供“私人地牢”的成人娱乐VR游戏。据报道,英国安全公司Digital Disruption在SinVR应用中发现了一个高危漏洞,并由此揭露了高达20000条用户信息。黑客可以因此访问SinVR账户下的用户姓名、电子邮件地址和设备名称,以及使用PayPal购买该内容的任何人。

Digital Disruption在博文中写道:“攻击者不仅可以利用这个漏洞来执行社交工程攻击,而且由于应用程序的性质,信息的泄露有可能令人感到尴尬。而且用户有可能因此而遭受勒索。”

在调查这个成人娱乐网站时,Digital Disruption发现这个高危漏洞。工作团队逆向设计了SinVR的桌面应用程序,并发现了不显眼的命名函数“downloadallcustomers”。函数无法从应用程序本身启用,但通过查看Web API的工作方式,调查人员手动触发了该函数。

在试图联系SinVR的母公司InVR受挫后,调查人员采取了一项措施:于上周将他们的调查结果公之于众(但在截图中没有公布具体的个人信息)。他们表示,尽管密码和信用卡信息并不包含在数据转储中,但攻击者仍然可以借此下载完整的SinVR用户列表。

与婚外情交友网站Ashley Madison在2015年的信息泄露事件相比,SinVR事件所涉及的用户数量显然更少,但Digital Disruption指出,攻击者同样可以利用相关的敏感信息来对用户进行勒索。

  • 发表于:
  • 原文链接:http://kuaibao.qq.com/s/20180116A04GXI00?refer=cp_1026

扫码关注云+社区