20000條用戶信息暴露，成人娛樂遊戲SinVR現高危漏洞

文章相關引用及參考：映維網

攻擊者可以利用相關的信息對用戶進行勒索

（映維網 2018年01月15日）SinVR是一款專為用戶提供「私人地牢」的成人娛樂VR遊戲。據報道，英國安全公司Digital Disruption在SinVR應用中發現了一個高危漏洞，並由此揭露了高達20000條用戶信息。黑客可以因此訪問SinVR賬戶下的用戶姓名、電子郵件地址和設備名稱，以及使用PayPal購買該內容的任何人。

Digital Disruption在博文中寫道：「攻擊者不僅可以利用這個漏洞來執行社交工程攻擊，而且由於應用程序的性質，信息的泄露有可能令人感到尷尬。而且用戶有可能因此而遭受勒索。」

在調查這個成人娛樂網站時，Digital Disruption發現這個高危漏洞。工作團隊逆向設計了SinVR的桌面應用程序，並發現了不顯眼的命名函數「downloadallcustomers」。函數無法從應用程序本身啟用，但通過查看Web API的工作方式，調查人員手動觸發了該函數。

在試圖聯繫SinVR的母公司InVR受挫後，調查人員採取了一項措施：於上周將他們的調查結果公之於眾（但在截圖中沒有公布具體的個人信息）。他們表示，儘管密碼和信用卡信息並不包含在數據轉儲中，但攻擊者仍然可以藉此下載完整的SinVR用戶列表。

與婚外情交友網站Ashley Madison在2015年的信息泄露事件相比，SinVR事件所涉及的用戶數量顯然更少，但Digital Disruption指出，攻擊者同樣可以利用相關的敏感信息來對用戶進行勒索。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！