Нападателите могат да се възползват от слабостта на SQL инжекцията за достъп до базата данни на играта и да откраднат потребителска информация.
Street Mobster, базирана на браузър масова мултиплейър онлайн игра, създадена от българската компания за разработка BigMage Studios, беше разкрита, че има сериозна уязвимост от екипа за разследване на CyberNews.com.
Street Mobster е безплатна, базирана на браузър онлайн игра на мафиотската империя, в която играчите поемат контрола над измислена престъпна организация. Актьорите на заплахи могат да получат достъп до базата данни за потребителски записи на играта, като стартират SQL Injection (SQLi) атака на уебсайта на играта, който има база играчи от над 1,9 милиона.
Други игри на BigMage Studios също могат да бъдат уязвими към същия експлоат, което излага на риск още повече хора.
Потребителските имена, имейл адресите, паролите и други данни, свързани с играта, съхранявани в базата данни, са сред записите, които могат да бъдат компрометирани, ако SQLi уязвимостта в Street Mobster бъде експлоатирана.
За щастие разработчиците отстраниха проблема, след като съобщихме за уязвимостта на BigMage Studios, CERT България и българската организация за сигурност на данните и потребителската база данни вече не е достъпна за потенциални нападатели.
Какво е SQL инжекция и как ще работи?
SQLi е открит през 1998 г. и се счита за проблем за сигурността на уеб приложения номер едно от Open Web Application Security Project (OWASP).
Въпреки че този недостатък е сравнително лесен за коригиране, изследователите откриха, че 8% от уебсайтовете и уеб приложенията все още ще бъдат уязвими към SQLi атаки през 2020 г. Това е непростимо от гледна точка на сигурността. Дотолкова, че TalkTalk, най-големият доставчик на интернет услуги в Обединеното кралство, беше глобен с рекордните £400 000 за това, че се поддаде на базирана на SQLi кибератака.
Експлойтът вмъква неочакван полезен товар (част от код) в полето за въвеждане или URL адреса на уебсайта. Вместо да чете текста като част от URL адреса, сървърът на уебсайта чете полезния товар на нападателя като код. Впоследствие той изпълнява или извежда данни, които обикновено биха били недостъпни за неоторизирани страни. SQLi може да бъде допълнително експлоатиран от нападатели, качващи код или дори злонамерен софтуер на уязвимия сървър.
Уязвимостта на Street Mobster към SQLi атаки демонстрира мрачното и опасно пренебрежение на основните мерки за сигурност от страна на разработчиците на BigMage Studios.
Как открихме тази уязвимост?
Нашият екип по сигурността откри уязвимост за инжектиране на SQL на уебсайта на Street Mobster, която можеха да потвърдят, като изпълниха основен тест за инжектиране на команди на URL адреса. Екипът на CyberNews не извлече чувствителните данни от базата данни Street Mobster.
Какъв ефект има уязвимостта?
Информацията в чувствителната база данни Street Mobster може да се използва срещу геймърите, чиито данни са били разкрити по различни начини:
Нападателите могат да получат достъп до сървъра на Street Mobster, като вмъкнат злонамерени полезни натоварвания, позволявайки им да поставят зловреден софтуер на уебсайта на играта и да навредят на посетителите – от копаене на биткойни на устройствата на играчите до пренасочването им към други злонамерени уебсайтове, инсталиране на зловреден софтуер и др.
Нападателите могат да получат потребителски имейл адреси и пароли от 1,9 милиона потребителски идентификационни данни, запазени в базата данни, които могат да използват за атаки за пълнене на идентификационни данни, за да отвлекат акаунти на геймъри в други игрални платформи като Steam или други онлайн услуги.
Лошите актьори биха могли да спечелят много пари, продавайки хакнати акаунти на играчи на уебсайтове на сивия пазар, защото Street Mobster е безплатна игра с микротранзакции.
Какво трябва да направите, ако сте били засегнати?
Ако имате акаунт в Street Mobster, променете паролата си възможно най-скоро и я направете възможно най-трудна. Променете паролата си на всички други уебсайтове или услуги, където сте използвали паролата си за Street Mobster. Това ще попречи на потенциалните нападатели да получат достъп до вашите акаунти на тези уебсайтове, ако се опитат да използват паролата ви за пълнене на идентификационни данни.
BigMage Studios, от друга страна, в крайна сметка е отговорен за пълното осигуряване на вашия акаунт в Street Mobster от SQLi атаки.
Липсата на прозрачност и комуникация на BigMage Studios
На 31 август 2020 г. предупредихме BigMage Studios за изтичането на информация съгласно нашите процедури за разкриване на уязвимости. Отговор обаче не получихме. По същия начин нашите последващи имейли бяха игнорирани.
На 11 септември се свързахме с CERT България за съдействие при осигуряването на уебсайта. CERT се обърна към BigMage Studios, който ги предупреди за неправилната конфигурация.
BigMage Studios запази мълчание по време на разследването и отказа да говори с CyberNews.com. В резултат на това на 9 октомври се свързахме с българската агенция за защита на данните за събитието, надявайки се, че агенцията може да окаже натиск върху корпорацията да разреши проблема.
