目录导航
在 Noam Rotem 和 Ran Locar 的带领下,vpnMentor 的研究团队发现了一个属于中国移动游戏公司 EskyFun 的数据泄露事件。
该公司正在使用一个不安全的服务器来存储从用户那里收集的大量游戏数据。这些数据中的大部分都非常敏感,视频游戏公司没有必要为用户保存如此详细的文件。
此外,由于不保护数据,EskyFun 可能使超过 100 万人遭受欺诈、黑客攻击,甚至更糟。
数据泄露摘要
| 公司 | EskyFun |
| 总部 | 中国 |
| 行业 | 手机游戏 |
| 以千兆字节为单位的数据大小 | 134GB |
| 记录数 | 365,630,387 |
| 暴露人数 | 潜在 100 万+(基于 Android 上 EskyFun 游戏的总下载量) |
| 日期范围/时间线 | 2021 年 6 月 – 至今 |
| 地理范围 | 全球的 |
| 暴露的数据类型 | PII数据;跟踪和分析数据;设备权限 |
| 潜在影响 | 网络钓鱼;欺诈罪; 企业间谍活动;黑客攻击 |
| 数据存储格式 | Elasticsearch |
公司简介
EskyFun Entertainment Network Limited 是一家中国手机游戏发行商,拥有众多可在 Android 上使用的游戏。他们的游戏混合了角色扮演和奇幻冒险,下载量超过 1,500,000。
受此次数据泄露影响的 EskyFun 游戏有:《彩虹物语:奇幻 MMORPG》(下载量超过 500,000 次);Metamorph M(100,000+ 次下载);王朝英雄:三国传奇(1,000,000+ 次下载)。
发现和所有者反应的时间表
- 发现日期: 2021 年 7 月 5 日
- 联系供应商的日期: 2021 年 7 月 7 日
- 第二次尝试联系的日期: 2021 年 7 月 27 日
- 我们联系香港 CERT 的日期: 2021 年 7 月 27 日
- 回复日期: –
- 行动日期: 2021 年 7 月 28 日之前
有时,数据泄露的程度和数据的所有者是显而易见的,问题很快就会得到解决。但这些时候很少见。相反,我们通常需要进行数天的调查,然后才能了解什么是利害关系或谁在泄露数据。
了解漏洞及其潜在影响需要仔细的关注和时间。我们努力发布准确可靠的报告,确保每个阅读报告的人都了解其严重性。
一些受影响的各方否认事实,无视我们的研究或淡化其影响。因此,我们需要彻底并确保我们发现的一切都是正确和准确的。
在这种情况下,我们的团队在 7 月初发现了 EskyFun 数据库。一旦我们确认了泄漏的细节,并且EskyFun作为责任方,我们立即联系了该公司。几周后没有回复,我们发送了后续电子邮件并联系了香港 CERT。*
香港 CERT 反应迅速,积极主动,寻求更多信息以采取适当措施。但是,此时,数据库已得到保护,漏洞已关闭。
由于我们从未收到 EskyFun 的回复,我们无法确定它修复漏洞的确切时间。
*香港电脑紧急应变小组 (HKCERT) 是负责处理国内网络安全事件的政府机构。大多数国家/地区都有类似的机构来解决本地化的数据泄漏和黑客攻击。
数据库中的条目示例
EskyFun 的服务器正在存储来自 3 个独立游戏的前 7 天用户记录的滚动日志。在每天结束时,任何超过 7 天的数据都会被自动删除,以便为新数据腾出空间。
因此,我们的调查只关注 7 天的数据以及在该短窗口内暴露的任何玩家。
然而,尽管只有7天,服务器仍然包含超过3.6亿条玩家记录。这是从一些不知名的小型手机游戏中收集的大量数据。
受影响的游戏
过多的权限和跟踪
暴露的数据规模庞大的原因似乎是 EskyFun 激进且令人深感不安的跟踪、分析和权限设置。
最有可能的是,大多数玩家不知道他们仅仅通过下载公司的一款游戏就向 EskyFun 提供了多少数据和访问权限。事实上,在访问设备的设置和网络之前,您似乎甚至不需要开始玩游戏。
下表显示了连接到 EskyFun 游戏的各种跟踪程序。
| 追踪应用 | 允许 |
| 调整 | 分析 |
| 应用传单 | 分析 |
| 布格利 | 分析 |
| 脸书分析 | 分析 |
| Facebook登入 | 鉴别 |
| 脸书分享 | 社交媒体 |
| 谷歌广告 | 广告 |
| 谷歌 Firebase 分析 | 分析 |
| 腾讯MTA | 分析 |
| 腾讯统计 | 分析 |
下表显示了用户每次从公司下载和安装游戏时允许 EskyFun 有多少权限。如您所见,EskyFun 几乎可以访问和控制一个人设备的几乎所有方面,甚至是他们的私人网络。
| 允许 | 目的 |
| ACCESS_NETWORK_STATE | 查看您的设备网络连接 |
| ACCESS_WIFI_STATE | 查看您的设备 Wi-Fi 连接 |
| 蓝牙 | 该应用程序可以与蓝牙设备配对 |
| BLUETOOTH_管理员 | 访问您的设备蓝牙设置 |
| CHANGE_NETWORK_STATE | 更改设备的网络连接 |
| CHANGE_WIFI_STATE | 连接和断开您的设备与 Wi-Fi |
| GET_TASKS | 应用程序有权查看手机上同时运行的其他应用程序 |
| 互联网 | 从您的设备为应用程序提供完整的网络访问权限 |
| MODIFY_AUDIO_SETTINGS | 更改您的音频设置 |
| READ_EXTERNAL_STORAGE | 该应用程序可以读取您 SD 卡的内容 |
| RECEIVE_BOOT_COMPLETED | 该应用程序在启动时运行 |
| 录制音频 | 该应用程序可以在您的设备上录制音频,即电话 |
| REQUEST_INSTALL_PACKAGES | 请求安装包 |
| WAKE_LOCK | 该应用程序会阻止您的手机进入睡眠状态 |
| WRITE_EXTERNAL_STORAGE | 该应用程序可以修改或删除您的 SD 卡的内容 |
| WRITE_SETTINGS | 该应用程序可以修改您的设备系统设置 |
| 计费 | 允许应用内购买。在不访问 Play 商店的情况下在应用内进行购买时需要。 |
| CHECK_LICENSE | 用于检查当前用户是否拥有游戏 |
| C2D_MESSAGE | (云到设备消息)推送通知的一种权限。 |
| 收到 | 允许接收推送通知 |
| BIND_GET_INSTALL_REFERRER_SERVICE | 允许应用识别应用的安装位置(Play 商店或其他商店等) |
| 推 | 该应用程序可以发送推送通知 |
由于这种过度的跟踪和访问,EskyFun 从玩家那里收集了大量数据——其中大部分对于游戏的运行来说是完全不必要的。
跟踪记录:15M+
EskyFun 的游戏应用程序似乎可以跟踪打开时所采取的任何操作。结果记录包含大量敏感信息,包括:
- IP地址
- IMEI号码
- 进行跟踪的移动应用程序包
- 设备屏幕大小 – 设备是否“root”*
- 设备型号
- 电话号码(如有)
- 平台(安卓/iOS)
- NetType(WiFi 或蜂窝)
- 事件(打开、登录、level_up 等)
*“root”设备是指用户已获得完全管理控制权的设备。智能手机制造商限制对其设备的某些功能和能力的访问,例如操作系统 (OS)。但是,如果有人“root”了他们的设备,他们就绕过了这些限制。
登录记录:6,000-10,000
这些应用程序还会记录用户登录游戏的任何时间,并跟踪特定于该时刻的其他信息,包括该人的确切“GeoIP”位置。
收据:148,000+
该数据库包含在过去 7 天内在游戏中进行的购买生成的收据。其中包括以下数据:
- 购买的是哪个游戏
- 买家帐号
- 支付的金额
- 交易日期和时间
运行时日志:217M+
运行时日志包含各种数据,其中一些非常敏感。
即使在小样本中,我们仍然发现了以下关于用户的记录:
- 电子邮件地址
- EskyFun 帐户的纯文本密码
- 支持请求
- 等等
数据泄露影响
由于不保护其用户的数据,EskyFun 可能使数百万人面临欺诈和网络攻击的风险。
网络钓鱼、欺诈和诈骗
数据库中每个用户的大量 PII 数据为犯罪黑客提供了广泛的攻击选项。
结合用户的电子邮件地址、游戏历史和支持请求,黑客可以发送数千封假冒 EskyFun 支持的网络钓鱼电子邮件。
例如,假设玩家在游戏中付款时遇到问题。在这种情况下,攻击者可以发送一封电子邮件,将他们定向到一个恶意网站,该网站设置了一个虚假的支付门户来抓取他们的信用卡详细信息、窃取他们的信用卡信息或在他们的设备上嵌入病毒(即勒索软件、间谍软件、跟踪、等等。)。
鉴于存储了关于每个用户的大量信息,对于经验丰富的网络犯罪分子来说,看起来合法并建立信任将非常容易。该数据库还包含大量数据来建立用户档案并确定两个弱势群体:高薪账户和儿童。通过关注这些用户,黑客可以从一小群受害者那里获得巨大的经济回报。
此外,考虑到有多少人暴露在泄密事件中,他们只需要欺骗一小部分用户即可认为活动取得成功。
使用密码破解其他帐户
EskyFun 的数据库还包含其游戏用户帐户的明文密码。
黑客可以使用这些密码访问和接管 EskyFun 游戏帐户,并对用户进行进一步的欺诈行为。
然而,更大的风险来自黑客在 EskyFun 网络之外使用这些密码。这是因为大多数互联网用户在多个私人帐户和设备之间共享他们的密码。例如,一个人的 EskyFun 帐户密码可能与其银行帐户相同。
犯罪黑客知道这一点。因此,他们很可能会使用 EskyFun 数据库中的电子邮件地址和密码对用户进行暴力攻击,用他们的电子邮件和密码轰炸互联网上的网站,以期访问私人帐户。
结果可能是灾难性的。更糟糕的是,几乎不可能将成功的攻击追溯到 EskyFun。
企业间谍
泄漏也给 EskyFun 带来了风险。
竞争对手可以利用泄密事件了解 EskyFun 的游戏及其成功的原因,同时还可以对该公司进行诽谤活动,突出该公司对客户的危害程度。
这样做时,他们可以同时构建与 EskyFun 的游戏几乎相同的竞争对手游戏,然后将 EskyFun 用户定位为微观目标,以推广他们的“更安全”的替代方案。
专家建议
如果 EskyFun 采取了一些基本的安全措施来保护数据库,就可以轻松避免这种泄漏。这些包括但不限于:
- 保护其服务器。
- 实施适当的访问规则。
- 永远不要让不需要身份验证的系统对互联网开放。
任何公司都可以复制相同的步骤,无论规模大小。
有关如何保护您的业务的更深入指南,请查看我们的指南,以保护您的网站和在线数据库免受黑客攻击。
对于 EskyFun 用户
如果您是 EskyFun 任何一款游戏的玩家,并且担心此漏洞可能会对您造成什么影响,请直接联系该公司以确定它正在采取哪些措施来保护您的数据。
要了解一般的数据漏洞,请阅读我们的在线隐私完整指南。
它向您展示了网络犯罪分子瞄准互联网用户的多种方式,以及您可以采取的确保安全的步骤。
我们如何以及为何发现漏洞
vpnMentor 研究团队发现暴露的数据库是一个庞大的网络地图项目的一部分。我们的研究人员使用大型网络扫描仪来搜索包含不应公开信息的不安全数据存储。然后他们检查每个数据存储是否有任何数据泄露。
我们的团队能够访问该数据库,因为它完全不安全且未加密。
EskyFun 使用的是 Elasticsearch 数据库,该数据库通常不是为 URL 使用而设计的。但是,我们能够通过浏览器访问它并随时操纵 URL 搜索条件以从单个索引公开模式。
每当我们发现数据泄露时,我们都会使用专家技术来验证数据库的所有者,通常是商业企业。
作为道德黑客,当我们发现他们的在线安全漏洞时,我们有义务通知他们。我们联系了 EskyFun,不仅让他们知道这个漏洞,而且还建议他们可以使系统安全的方法。
这些道德规范也意味着我们对公众负有责任。EskyFun 用户必须意识到暴露了大量敏感数据的数据泄露。
这个网络地图项目的目的是帮助所有用户提高互联网的安全性。
我们绝不会出售、存储或公开我们在安全研究期间遇到的任何信息。