网上发现了来自最大的Minecraft服务器托管提供商之一的Git配置和索引文件,一些用户的担忧是可以理解的,但头条新闻背后的公司向我们保证一切都是安全的。
澳大利亚公司Shockbyte年收入高达1000万美元,为一系列流行游戏提供托管服务,包括Minecraft、Counter-Strike和AssettoCorsa。
(相关资料图)
当Cybernews研究团队提请我们注意Shockbyte显然“泄露了其网站源代码的访问权限,导致威胁行为者面临着操纵Minecraft服务器上运行的代码的风险”时,这一消息就被传出,然而,对这些说法的深入研究证实了这一点事实并非如此。
Cybernews表示,利用该漏洞的攻击者不仅可以操纵该公司的网站,还可以横向移动到Shockbyte托管的游戏服务器,从而操纵Minecraft服务器上运行的代码并直接影响游戏玩家。
Cybernews的其他担忧是,攻击者可能会修改代码以窃取支付信息或安装恶意软件。
其核心是,TechRadarPro已确认源代码尚未泄露,因此网站和相关游戏玩家不会面临风险。支付窃取、代码操纵和未经授权访问网站都已被排除。
Shockbyte告诉Cybernews,已采取措施解决其承认的“错误部署.git目录”问题。
Cybernews表示:“考虑到游戏行业的快速增长以及对服务器托管提供商的日益依赖,用户的安全和隐私应该成为在该领域运营的公司的首要任务。”
该公司在发给TechRadarPro的电子邮件中证实:
“2023年6月22日,Cybernews发表了一篇有关ShockbyteWeb服务器的文章,其中包含公共git配置和索引文件。
尽管这些文件可以公开访问,但不会对任何一方构成安全风险。
配置文件包含一个已经过期的git存储库的只读访问令牌。由于令牌无效,因此无法被利用。
Cybernews最初于2023年5月15日向Shockbyte报告了这一情况,但是,Shockbyte已经调查了这些文件并验证该令牌在此日期之前不会构成风险。
有问题的令牌由自动部署管道使用,该管道临时创建只读令牌来部署代码更改,然后在完成后立即使令牌失效。这意味着只读令牌仅在几秒钟内有效。
Cybernews在文章中错误地声称这可能会带来一些风险。
有问题的网络服务器不与Shockbyte的计费系统或游戏服务器通信。因此,即使令牌有效,即使它是完全特权令牌(它不是-它是只读的,并且已经过期),它仍然不会对客户的服务或数据构成风险。”
此后,Shockbyte在另一篇博客文章中回应了Cybernews的指控。
尽管这些指控已被证明是错误的,但良好的互联网安全纪律仍然是重要的。无论风险状态如何,使用强密码和双因素身份验证(2FA)的建议仍然有效。
免责声明:本文由用户上传,如有侵权请联系删除!关键词:
