WizCase의 보안 연구원은 사용자 프로필, 트랜잭션 및 피드백 메시지를 노출한 AMT 게임즈 소유의 보안되지 않은 ElasticSearch 서버를 발견했다
연구원들은 AMT 게임즈가 서버를 사용하여 프로필 정보, 결제 내역, 수백만 명의 배틀 포 더 갤럭시 (Battle for the Galaxy) 플레이어의 피드백 메시지를 저장했음에도 불구하고 ElasticSearch 서버에 저장된 데이터가 암호화되지 않았고 서버도 비밀번호로 보호되지 않았음을 발견했습니다.
AMT 게임즈 Ltd.는 인기있는 모바일 및 브라우저 기반 온라인 게임의 중국 기반 개발 업체로 안드로이드, 아이폰, 스팀 및 웹 브라우저용 게임 앱을 개발합니다. 이 회사에서 개발한 인기 게임으로는 배틀 포 더 갤럭시, Heroes of War: WW2 Idle RPG, Epic War TD2, Trench Assault가 있습니다.
연구원에 따르면 보안되지 않은 ElasticSearch 서버에는 590만 명의 플레이어 프로필, 200만 건의 거래, 587,000개의 피드백 메시지, 가격, 구매 항목, 구매 시간, 결제 제공 업체, 경우에 따라 구매자의 IP 주소와 같은 거래 데이터가 포함되어 있습니다.
서버는 또한 플레이어 ID, 사용자 이름, 국가, 게임에 지출된 총 금액과 같은 플레이어 프로필 데이터는 물론 사용자가 두 계정 중 하나를 게임 계정과 연결한 경우 페이스북, 애플 및 구글 계정 데이터를 저장하는 것으로 확인되었습니다. 악의적인 공격자가 노출된 데이터에 액세스하면 온라인 게이머를 표적으로 삼고 신용 카드 정보를 공유하도록 속이는 스피어 피싱 캠페인을 수행할 수 있습니다.
“이메일 주소와 거래 및 개발자 메시지와 같은 서비스 관련 사용자 문제에 대한 구체적인 세부 정보를 통해 악의적인 행위자가 게임 지원 역할을 하고 신용 카드 정보를 도난 당할 수 있는 악의적인 웹사이트로 사용자를 유도할 수 있다”라고 경고했습니다.
“계정 당 지출된 금액에 대한 데이터를 통해 이러한 사기꾼은 가장 높은 결제를 한 사용자를 대상으로 할 수 있습니다. 이들 중 상당수는 어린이들이며 게임 기록, 게임에서 보낸 시간, 게임 내 친구 서클 등으로 알아낼 수 있습니다. 이런 정보가 없을 때 보다 사기의 성공 가능성이 훨씬 더 높습니다. 이러한 이메일을 통해 경쟁 게임은 광고 및 이메일 캠페인을 통해 사용자를 이동하게 하거나 타겟팅할 수 있습니다.”
Synopsys CyRC의 수석 보안 전략가인 Tim Mackey는 보안되지 않은 데이터베이스에 방대한 양의 데이터를 저장하는 회사의 또 다른 사례가 노출된 것에 대해 언급하면서 잘못 구성된 데이터베이스의 확산으로 일부 팀은 프로덕션 시스템에 보안 구성을 사용하고 있는지 확인할 수 있는 능력이 없음이 분명하다고 말했습니다. 여러 가지 잠재적인 해결 방법이 있지만 가장 간단한 방법 중 하나는 구성 설정에 대한 예외 기반 업데이트 모델을 정의하는 것입니다.
“이 모델에서는 승인된 구성 설정 및 파일 세트를 생성하기 위해 구성 데이터의 감사 수준 검토가 수행됩니다. 이전에 승인된 설정을 업데이트하려면 변경 사항에 대해 동일한 감사 수준 검토가 필요하며 현재 구성은 항상 승인된 설정에 대해 유효성이 검사됩니다.”
“예외 기반 업데이트를 구현하는 데 사용할 수 있는 많은 기술이 있지만 이는 자동화된 검사를 통해 잘 정의된 프로세스가 프로세스를 구현하는 기술보다 훨씬 더 가치있는 경우”라고 덧붙였습니다.
comforte AG의 제품 관리자인 Trevor Morgan에 따르면 온라인 게이머는 개인 데이터를 게임 개발자와 공유할 때 주의해야 합니다. 위반, 사이버 공격 또는 데이터 유출로 인해 데이터가 악의적인 행위자에게 넘어갈 수 있기 때문입니다.
“사용자가 설정한 연결 (종종 소셜 미디어 계정 자격 증명을 사용하여 게임 계정 및 프로필 생성)은 위협 행위자가 사용할 수 있는 훨씬 더 많은 정보를 캡처하여 게임에 더 많은 돈을 지출하는 사용자를 타겟팅 할 수 있게 합니다. 게이머는 직접 또는 계정 연결을 통해 게임에 제공하는 데이터 유형을 알고 있어야 하며 게임 개발자와 호스팅 회사가 이를 보호할 책임을 져야 합니다.”
그는 또한 “동전의 또 다른 측면에서 볼 때, 게이밍 조직은 데이터 프라이버시를 훨씬 더 중요하게 생각하여 최소한의 보안 수준 이상으로 데이터 인프라를 구축해야 합니다. 사용자로부터 잠재적으로 가치있는 데이터를 수집한다는 점을 감안할 때, 위협 행위자가 이 정보 캐시에 접근하려고 시도할 수 있다는 가정하에 그들의 전략이 데이터 중심이어야” 한다고 말합니다.
SiGMA 로드쇼: 다음 목적지 독일
통찰력있는 회의 내용과 새로운 비즈니스 기회로 가득 찬 2시간 동안의 가상 쇼에 참여하십시오. 이 독특한 대화형 가상 미니 컨퍼런스는 매달 다른 국가에서 열립니다. 다음 목적지는 독일입니다. 대화에 참여하세요. E스포츠에서 규제 트랜드에 이르기까지 다양한 주제를 다룰 것입니다. 지금 등록하세요!