更新されたギャンブル サイト BetVictor が、その Web サイトの管理者の資格情報と思われるものをインターネット上に放置していたことが発覚しました。
セキュリティ研究者のクリス・ホグベン氏は本日、ジブラルタルに拠点を置く賭博サイトが、社内システムのユーザー名とパスワードを含むヘルプ記事をオンライン上に残していたと述べた。データを取得する秘訣は、「admin」という単語を検索することだという。
ネットの裏側…仕事。
ホグベン氏は、BetVictorのサイト内検索にこの単語を入力し、ヘルプ記事を精査した結果、サイト上の22の異なるURLに対して19個のユーザー名とパスワードの組み合わせを見つけることができたと述べた。
同氏はこの失態について、「これはマットの下に鍵を置き忘れるのと同じようなデジタル版だと思う」と語った。
「BetVictor のバックエンド システムとポータルに関する情報 (ユーザー名、パスワード、URL) は、ホームページ上で数回クリックするだけで表示されます。」
ホグベン氏は、これらの認証情報を使ってみたわけではないため、実際に機能するかどうかや、攻撃者がどのようなデータを閲覧できるかは確信できないと述べた。しかし、これらのアカウントはサポート、本人確認、そして取引に使用されていると確信している。
逮捕されたロシアのカジノハッカーは麻薬とチョコレートを好んでいた
続きを読む
ホグベン氏は、これはリバプールと関係のあるブックメーカーにとって、腹立たしいセキュリティ不備の氷山の一角に過ぎず、今後、ブックメーカーは絶対に見逃されることはないだろうと考えた。
「これはBetVictorのナレッジベース内にあった文書の一つに過ぎないことにも留意すべきだ」とホグベン氏は指摘した。「より広範な検索を行えば、さらに機密性の高いデータを含む文書が発見される可能性もある」
BetVictor社がこの問題を認識しているとしても、彼らはそれについて言及していない。ホグベン氏は、機密性の高いログイン情報はサイトから削除されたようだが、問題が解決されたという確証を同社から得ることができなかったと述べた。BetVictor社はこの件についてコメントを求めるRegの要請には応じなかった。®
追加更新
BetVictorは最終的にThe Regに連絡し、Hogbenが問題を報告した直後にログイン情報へのアクセスを削除したと述べた。
BetVictor社に、それが実際のログイン情報ではなく、ダミーデータやテストデータであるかどうかを尋ねたところ、BetVictor社は次のように回答しました。
「昨日(火曜日)ヘルプセンターを通じて入手可能だったデータに関する具体的な質問には回答できません。サードパーティプロバイダーで何が起こったのかをまだ調査中です。」
「言えることは、この情報は 2015 年に当社のカスタマー サービス チームが利用できる社内ヘルプ セクションからのものであるということです。
「問題に気づいてすぐに、ヘルプセンターを無効にし、有効期限が切れていないシステムへの外部からのアクセスを禁止しました。
「私たちは起きたことを遺憾に思っており、サプライヤーと協力して再発防止に努めています。そのため、現在ヘルプセンターはご利用いただけません。」
BetVictorは調査中であるとして、これ以上の詳細説明を拒否した。
「我々は何が起こったのか、そしてそれがどのような影響を及ぼしたのかを正確に突き止めるために徹底的な調査を行っているが、それが完了するまではこの問題に関するいかなる質問にも答えることはできない」と同社は述べた。
