De kinesiska utvecklarna av populära Android -spelappar avslöjade information som tillhör användare via en osäker server.
I en rapport som delas med ZDNet avslöjade vpnMentors cybersäkerhetsteam, som leds av Noam Rotem och Ran Locar, EskyFun som ägare till en 134 GB server exponerad och offentliggjord online.
EskyFun är utvecklare av Android -spel inklusive Rainbow Story: Fantasy MMORPG, Adventure Story, The Legend of the Three Kingdoms och Metamorph M.
På torsdagen sa laget att användare av följande spel var inblandade i dataläckaget: Rainbow Story: Fantasy MMORPG, Metamorph M och Dynasty Heroes: Legends of Samkok. Tillsammans står de för över 1,6 miljoner nedladdningar.
Totalt sa teamet att en påstådd 365 630 387 poster innehöll data från juni 2021 och framåt, läckande användardata som samlats in på ett sju dagars rullande system.
Teamet säger att utvecklarna inför “aggressiva och djupt oroande spårnings-, analys- och behörighetsinställningar” när deras programvara laddas ner och installeras, och som ett resultat var mångfalden av data som samlades in kanske mer än du kan förvänta dig mobilspel att kräva.
Posterna inkluderade IP- och IMEI -nummer, enhetsinformation, telefonnummer, operativsystemet som används, händelseloggar för mobila enheter, oavsett om en handenhet var rotad eller inte. spelköps- och transaktionsrapporter, e -postadresser, EskyFun -kontolösenord lagrade i klartext och supportförfrågningar, bland annat.
vpnMentor < /figure>
vpnMentor misstänker att upp till eller mer än en miljon användare kan ha fått sin information avslöjad.
Den osäkra servern upptäcktes den 5 juli och EskyFun kontaktades två dagar senare. Men efter att inte ha fått något svar gjorde vpnMentor ett andra försök den 27 juli.
Fortsatt tystnad krävde att teamet också kontaktade Hong Kong CERT och servern var säkrad den 28 juli.
< p>“Mycket av denna data var otroligt känslig, och det var inte nödvändigt för ett tv -spelföretag att hålla så detaljerade filer på sina användare”, kommenterade forskarna. “Dessutom, genom att inte säkra uppgifterna, har EskyFun potentiellt utsatt över en miljon människor för bedrägeri, hackning och mycket värre.”
ZDNet har kontaktat EskyFun och vi kommer att uppdatera när vi hörs igen.
Tidigare och relaterad täckning
De största hackarna, dataintrång från 2020
Microsoft Power Apps felkonfiguration avslöjar 38 miljoner dataregister
Företagets dataintrångskostnad nådde rekordhöga under COVID-19-pandemin
Har du ett tips? Hör av dig säkert via WhatsApp | Signal på +447713 025 499 eller senare på Keybase: charlie0
Relaterade ämnen:
China Security TV Data Management CXO Data Center