Hacking the World Poker Tour: Inside ClubWPT Gold's Back Office
7 months ago
- #Vulnerability Disclosure
- #Cybersecurity
- #Online Gambling
- 在ClubWPT Gold后台应用程序中发现漏洞,允许获取完整管理员权限。
- 敏感数据泄露,包括驾驶证、护照号码、IP地址及交易记录。
- 漏洞在报告后由ClubWPT Gold修复,并确认未被利用。
- 初步调查ClubWPT Gold基础设施时,在JavaScript环境变量中发现可疑中国域名。
- 识别出多个ClubWPT Gold服务运行于'liuxinyi1.cn'的子域名上。
- 通过可访问的'.env'文件暴露内部密钥和阿里云凭证。
- 利用暴露的'.git'文件夹成功克隆管理员面板源代码。
- 在环境变量中发现硬编码用户名,由此进入暂存后台登录界面。
- 利用暂存环境源代码中的漏洞绕过生产环境的双重验证(2FA)。
- 获取生产环境数据,包括真实客户个人信息(PII)、KYC资料和管理统计信息。
- ClubWPT Gold在漏洞披露后迅速采取修复措施。