Street Mobster, браузърна мултиплейър онлайн игра, създадена от българската компания за разработка Big Mage Studios, беше разкрита като сериозна уязвимост от екипа на Cyber News Investigation.
Street Mobster е безплатна, браузърна онлайн игра за мафиотска империя, в която играчите поемат контрола над измислена престъпна организация. Участниците в заплахите могат да получат достъп до базата данни с потребителски записи на играта, като извършат атака чрез SQL инжектиране (SQLi) на уебсайта на играта, който има база от над 1,9 милиона играчи.
Потребителските имена, имейл адресите, паролите и други свързани с играта данни, съхранявани в базата данни, са сред записите, които могат да бъдат компрометирани чрез използване на уязвимостта SQLi в Street Mobster.
За щастие разработчиците отстраниха проблема, след като съобщихме за уязвимостта на BigMage Studios, CERT България и българската организация за сигурност на данните, и базата данни с потребители вече не е достъпна за потенциални нападатели.
Как открихме тази уязвимост?
Екипът ни по сигурността откри уязвимост в SQL Injection на уебсайта Street Mobster, която потвърди, като изпълни тест за инжектиране на основна команда на URL адреса. Екипът на CyberNews не извлече данни от уязвимата база данни на Street Mobster.
Какъв ефект има уязвимостта?
Информацията в податливата база данни на Street Mobster може да бъде използвана срещу геймърите, чиито данни са били разкрити, по различни начини:
Атакуващите могат да получат достъп до сървъра на Street Mobster, като инжектират зловреден полезен товар, който им позволява да инсталират зловреден софтуер на уебсайта на играта и да навредят на посетителите по различни начини, включително да добиват криптовалута на устройствата на играчите, да ги пренасочват към други зловредни уебсайтове, да инсталират зловреден софтуер и др.
Нападателите могат да получат имейл адреси и пароли на потребители от 1,9 милиона потребителски данни, записани в базата данни, които могат да използват за credential stuffing атаки, за да превземат акаунти на геймъри в други платформи за игри като Steam или други онлайн услуги.
Лошите актьори могат да спечелят много пари от продажбата на хакнати акаунти на играчи в уебсайтове на сивия пазар, тъй като Street Mobster е безплатна игра с микротранзакции.
Какво трябва да направите, ако сте били засегнати?
Ако имате акаунт в Street Mobster, сменете паролата си възможно най-скоро и я направете възможно най-трудна. Променете паролата си във всички други уебсайтове или услуги, в които сте използвали паролата си за Street Mobster. Това ще попречи на потенциалните нападатели да получат достъп до акаунтите Ви в тези уебсайтове, ако използват паролата Ви за пълнене на удостоверения.
Big Mage Studios, от друга страна, е в крайна сметка отговорна за пълното обезопасяване на Вашия акаунт в Street Mobster от SQLi атаки.
Липса на прозрачност и комуникация от страна на Big Mage Studios
На 31 август 2020 г. предупредихме BigMage Studios за изтичането на информация съгласно нашите процедури за разкриване на уязвимости. Въпреки това не получихме отговор. По същия начин нашите последващи имейли бяха игнорирани.
На 11 септември се свързахме със CERT България за съдействие при защитата на уебсайта. От CERT се свързаха с BigMage Studios, които ги предупредиха за неправилната конфигурация.
BigMage Studios запази глухо мълчание по време на разследването и отказа да разговаря с CyberNews В резултат на това на 9 октомври се свързахме с Българската агенция за защита на личните данни за случилото се с надеждата, че агенцията може да окаже натиск върху корпорацията да реши проблема.
Изглежда, че BigMage Studios в крайна сметка е коригирала уязвимостта SLQi на streetmobster, без да се свърже нито с CyberNews, нито с CERT България.
