据美国科技媒体ZDNet报道，美国一个网络赌博集团泄露1.08亿条赌博信息，里面包括客户的个人信息、存款及提款详情。

网络安全研究人员贾斯汀·潘恩（Justin Paine）说，这些信息是从ElasticSearch服务器泄露的，并在网上流传，不需要密码就能获得。

企业喜欢用ElasticSearch来改进自有网络App的数据索引和搜索功能。一般来说这样的搜索引擎会装在内部网络，用来处理公司机密信息，信息不会泄露在网上。

上周，Paine发现了一些没有安全保护和身份验证的敏感信息，很明显这些信息来自在线投注门户网站。

ElasticSearch处理了大量从多个网络域聚合而来的信息，这些信息很可能来自某种联盟计划，或者是运营多个博彩门户的大型公司。

在对服务器数据中发现的URL进行分析后发现，所有域名都在运行在线赌场，用户可以对经典纸牌和老虎机下注，还可以投注其他非标准的赌博游戏。

Paine在漏洞服务器中发现的一些域名包括kahunacasino.com、azur-casino.com、easybet.com和viproomcasino.net等。经过一番挖掘，Paine认定这些域名全都是由同一实体用来运营网络赌场。

泄露的用户数据包括许多敏感信息，如真实姓名、家庭住址、电话号码、电子邮件地址、出生日期、网站用户名、帐户余额、IP地址、浏览器和操作系统详细信息、上次登录信息和参与赌博项目的列表。

很少一部分经过编辑的用户数据被服务器泄露

总计约有1.08亿条记录曝光，里面还有押注、获胜、存款、取款信息。在存款和取款信息里还有支付卡资料。好在ElasticSearch服务器中支付卡详情部分被隐去了，并且也没有公开用户的完整财务细节。

很少一部分经过编辑的交易数据被服务器泄露

坏消息是，任何发现数据库的人都会知道最近赢得大笔金额的玩家的姓名、家庭住址和电话号码，并且可能已将这些信息作为诈骗或勒索计划的一部分。

截止本文发布，这些在线门户网站均未对此事做出回复，但信息泄露的服务器已无法访问。

鉴于上述所有在线赌场网站都没有回应媒体的评论请求，其母公司也没有回应，因此不清楚服务器暴露在网上的时间有多长，究竟有多少用户受到了影响，安全研究员以外的任何人是否访问了泄漏的服务器，以及客户是否会被告知他们的个人数据已在互联网上以明目张胆的方式被公开了。

有数据显示，中国每年由于赌博而流到境外的赌资超过6000亿元，境外赌博网络就像“抽水机”一般，每年将上千亿的资金从中国内地抽走。

和线下赌博相比，网络赌博有更强的隐蔽性，操作更加便利，一些网络赌博甚至可以进行合法包装。同时，玩家交易的虚拟筹码使其在下注时缺少心理压力，更容易成瘾。

赌博性质的网站，安全软件通常会给出防毒警告，很大程序的影响了用户体验性。

博彩运营人员为了防止出现防毒警告，通常会连续购买多个不同的域名。

因此，赌博性质的网站安全问题堪忧，如果在上面注册个人信息，甚至完成交易支付，将存在很大的隐私风险。

参考来源：

• 钛极客

• 安全客

• zdnet

公众号ID：ikanxue

官方微博：看雪安全

商务合作：wsc@kanxue.com