Chess.com面临第二次数据泄露:476000条被抓取的用户记录被泄露

Chess.com用户记录的最新一次数据泄露发生在2023年11月10日星期五。早些时候,Chess.com证实,恶意威胁者利用该平台API中的“查找朋友”功能来提取公开可用的用户数据。

2023年11月10日,报道称,威胁行为者泄露了一个包含Chess.com用户信息的已抓取数据库。该数据库包含大约828327个用户,已在臭名昭著的违规论坛上泄露。

周末,另一名威胁行为者从Chess.com泄露了另一个被抓取的数据库,影响了这个广泛使用的国际象棋爱好者和社交网络在线平台的近500000名(476121)名用户。

有趣的是,该论坛还发现另一名威胁行为者几天前在同一论坛上泄露了LinkedIn抓取的数据库,其中包含2500万用户的信息。

与之前的数据泄露事件类似,最新事件也涉及敏感信息的泄露。泄露的数据包括全名、用户名、个人资料链接、电子邮件地址、用户的原籍国、头像URL(个人资料图片)、通用唯一标识符(UUID)、用户ID和注册日期。

在黑客论坛上的一篇帖子中,威胁行为者指出,最近发布的数据泄露事件与之前涉及800000条被删除记录的泄露事件不同且无关。

据威胁行为者称,先前泄漏的数据尚未合并到当前泄漏中。“800k泄漏中的所有内容都被我刮掉了,没有任何内容被重新利用,”这位演员写道。

通过快速分析可以证实该行为者的说法是真实的,并且没有从之前的泄露中获取任何数据。

由于一直在监视违规论坛上威胁行为者的活动,负责最初Chess.com数据泄露的组织“DrOne”声称他们已经获得了对该网站另外四个被抓取数据库的访问权限。

据他们声称,这四个数据库包含超过100万Chess.com用户的个人信息。尽管如此,数据库何时会被泄露以及行为者是否有这样做的意图仍然不确定。

必须强调的是,Chess.com并未成为网络攻击的受害者,其服务器也没有受到威胁者的破坏。针对之前向报告的抓取漏洞,Chess.com确认其已意识到该问题。该公司澄清称,威胁行为者利用了其公共API,并强调此次违规行为并不涉及直接入侵其服务器。

“今天,我们了解到一些不良行为者使用我们的API来收集和发布一些公开的会员数据。这不是数据泄露。我们的基础设施、会员帐户和密码等数据都是安全的,”该公司表示。

“不良行为者使用在Chess.com之外找到的电子邮件地址通过“查找朋友”功能搜索我们的API,并将电子邮件地址与Chess.com帐户进行匹配。这些Chess.com用户名、电子邮件地址和其他公共信息(例如帐户创建日期和上次登录日期)均已公开。”该代表解释道。

虽然恶意行为者确实编译并泄露了公开信息,但数据中包含的电子邮件地址对该网站的用户构成了重大威胁。泄露的信息为潜在的恶意活动提供了基础,例如创建虚假个人资料导致身份盗用。

此外,威胁行为者可以利用暴露的数据来搜索与先前数据泄露中受损的电子邮件地址相关的密码。此外,电子邮件地址的存在为网络钓鱼攻击打开了大门,攻击者可能会试图通过冒充Chess.com进行欺诈性电子邮件通信来欺骗用户。

网页抓取,也称为数据抓取,是指软件采用的自动化方法从网站中提取信息,特别是从网页中收集特定数据。鉴于Chess.com作为一个大型网站的扩展性,该过程变得难以阻止。

为了阻止抓取活动,大型网站实施了速率限制和验证码挑战等预防措施。尽管采取了这些措施,抓取工具仍坚持创新并设计新技术来克服这些障碍。然而,并非所有抓取工具都是恶意的;有些人出于研究目的从事数据收集,从研究社交网络到开发机器学习模型。

发表评论

评论已关闭。

相关文章