Duizenden Airsoft spelers bedreigd na datalek

Security
Redactie WINMAG Pro

Kwaadwillenden maakten misbruik van de persoonlijke gegevens van 75.000 Airsoft-spelers nadat de communitysite was vergeten een wachtwoord op te nemen in de back-ups van de database.

Op 6 december 2023 ontdekte het onderzoeksteam van Cybernews dat de Airsoft enthousiastelingen community site Airsoftc3.com had gefaald in het configureren van authenticatie voor zijn Google Cloud Storage Bucket, waardoor een database back-up uit 2022 lekte die grote hoeveelheden zeer gevoelige gebruikersgegevens bevatte.

De gevolgen van het lek zijn aanzienlijk: 75.000 gebruikers worden getroffen en mogelijk wordt een aanzienlijk deel van de Airsoft gemeenschap in de VS bereikt. Hoewel exacte cijfers voor de Airsoft gemeenschap in de VS niet beschikbaar zijn, had buurland Canada naar verluidt rond de 35.000 Airsoft spelers in 2021.

Kwaadwillenden hebben ook toegang gekregen tot de gelekte database. Cybernews ontdekte een 12GB bestand met dataairbase back-up gedeeld op een forum voor hackers. Cybernews heeft meerdere malen geprobeerd contact op te nemen met het bedrijf, maar heeft op het moment van schrijven nog geen antwoord ontvangen.

De gelekte gegevens omvatten:

  • Persoonlijke e-mails die naar gebruikers zijn gestuurd
  • Gebruikersnamen en gehashte wachtwoorden
  • e-mailadressen
  • Telefoonnummers
  • Thuisadressen
  • Links naar sociale media
  • Geloofsbrieven van de oprichters en beheerders van de site
  • Berichten van gebruikers

Op het platform, dat eigendom is van het in Delaware gevestigde bedrijf Airsoft C3, kunnen Amerikaanse airsoftspelers accounts aanmaken, wedstrijdvelden in de buurt vinden en teams om lid van te worden en tegen te spelen.

Met een jaaromzet van tussen de 2 en 5 miljoen dollar staat het bedrijf te boek als een van de belangrijkste verhuurders van indoor en outdoor airsoft games, met verhuur van velden, bb-guns, airsoftpistolen en beschermende uitrusting.

Cyberbeveiligingsrisico's

De openbaar gemaakte databaseback-up is gevoelig, omdat deze bijna alle operationele informatie bevat die nodig is om de website goed te laten functioneren, inclusief gebruikersgegevens.

Het bedrijf kan juridische en financiële risico's lopen door onjuiste opslag van persoonlijke gegevens. Gelekte referenties voor administratieve accounts kunnen worden gebruikt om de bedrijfsinfrastructuur te compromitteren, wat kan leiden tot verdere reputatieschade en financiële schade.

Het bewijs dat kwaadwillende actoren toegang hebben tot de gelekte database en deze delen, verhoogt het risico op potentiële aanvallen die gericht zijn op de site en haar gebruikers. Met deze gelekte informatie kunnen kwaadwillenden een reeks aanvallen uitvoeren, zoals account takeovers, credential stuffing, phishing, spamcampagnes, identiteitsdiefstal en dox

Lees meer

Hoe statistieken over datalekken in een jaar tijd zijn veranderd
Hoe statistieken over datalekken in een jaar tijd zijn veranderd
Mysterieuze acteur morst meer dan 1.2B records van Chinese gebruikers
Mysterieuze acteur morst meer dan 1.2B records van Chinese gebruikers
Helft organisaties met datalek weigert securitybudget te verhogen ondanks stijgende datalekkosten
Helft organisaties met datalek weigert securitybudget te verhogen ondanks stijgende datalekkosten
Organisaties en werkenden niet altijd op één lijn over cybersecurity
Organisaties en werkenden niet altijd op één lijn over cybersecurity
Cisco-onderzoek: Verslapte securitymaatregelen thuis vormen grote bedreiging voor cyberveiligheid van bedrijven
Cisco-onderzoek: Verslapte securitymaatregelen thuis vormen grote bedreiging voor cyberveiligheid van bedrijven
Redactie WINMAG Pro
Door: Redactie WINMAG Pro
Redactie

Redactie WINMAG Pro

Redactie