Oprettelsen af 'Magic: The Gathering' advarer brugere om at ændre adgangskoder efter en massiv dataforbrud
Ifølge Wikipedia blev Magic: The Gathering (MTG) fra 2015 spillet af ca. 20 millioner mennesker. Heldigvis havde ikke alle dem konti på et websted dedikeret til hit-spillet. Lidt over 450 tusind af dem gjorde det imidlertid, og nu er nogle af deres personlige data lækket online.
Table of Contents
En anden database blev liggende i en AWS-opbevaringsbakke
Lækagen blev fundet af Fidus Information Security - det samme firma, der for nylig opdagede en sikkerhedsfejl i Vatikanets nye smarte rosenkrans. Denne gang var det imidlertid ikke nødvendigt at Fidus 'eksperter skulle vende ingeniører til at vende tilbage eller sile gennem nogen API-svar.
Alt hvad de behøver at gøre var at kigge i en Amazon Web Services (AWS) opbevaringsbakke, der ikke var beskyttet af en adgangskode. Inde i det fandt de lidt over 452 tusind brugerposter, der indeholdt navne, brugernavne, e-mail-adresser, hashede og saltede adgangskoder og datoen for oprettelse af konto.
Databasen blev første gang uploadet til den ubeskyttede spand i begyndelsen af september, og den var tilsyneladende online i de næste to måneder. Dette lyder måske ikke meget, men hvis det var nok for Fidus 'forskere at finde det, kunne det have været nok til cyberkriminelle at finde det også.
MTGs udgiver laver en alt for almindelig fejlkonfigurationsfejl
Efter en kort undersøgelse indså Fidus 'forskere, at databasen tilhørte Wizards of the Coast, den Washington-baserede spiludgiver, der frigav Magic: The Gathering tilbage i 1993. Som det ofte er tilfældet, glemte nogen at konfigurere den krænkende AWS-opbevaring korrekt spand før upload af databasefilen, der for øvrig også indeholdt omkring 500 poster, der tilhørte Wizards fra Coast-medarbejderne.
En talsperson for spiludgiveren fortalte TechCrunch, at de ikke har bevis for nogen ondsindet brug af dataene. De berørte brugere får besked og bliver bedt om at ændre deres adgangskoder, bare i tilfælde af det. I overensstemmelse med GDPR er reguleringsorganerne i EU også blevet gjort opmærksomme på lækagen.
Den gode nyhed
Det er uklart, hvor databasen kom fra. Det eneste, vi ved med sikkerhed, er, at det websted, det tilhørte, var ejet af Wizards of the Coast, og at dataene er ret gamle. TechCrunchs Zack Whittaker gennemgik en stikprøve af lækagen og rapporterede, at mange af regnskaberne dateres så langt tilbage som 2012, selvom der også er nogle fra 2018. Troldmænd fra kysten fortalte Whittaker, at webstedet nu er blevet "afbrudt".
Som vi allerede nævnte, blev adgangskoderne hashet og saltet, hvilket også er en god ting. Den hashingsalgoritme, der blev brugt, forbliver ukendt, men Zack Whittaker siger, at det ville være "vanskeligt" at afkryptere dataene. I betragtning af det relativt lille antal berørte konti og deres alder er det usandsynligt, at hackerne vil lægge for stor indsats i at forsøge at vende hasherne.
Den ikke så gode nyhed
Når alt dette er sagt, bør lækagen ikke undervurderes. Databasen indeholdt en rimelig mængde personlige oplysninger, der ikke var krypteret eller beskyttet på nogen måde. Hvad mere er, alle, der får adgang til navnene, brugernavne og e-mails i databasen, ved, at folkene bag dem er interesseret i MTG, hvilket kan være en massiv fordel, hvis de prøver at organisere et veludviklet spyd phishing-angreb. Troldmænd fra kysten skal snart ske med at underrette alle berørte personer, og vi kan kun håbe, at brugerne får alle de oplysninger, de har brug for, for at holde skaden forbundet med lækagen under kontrol. Sagen er, at ofre skulle have været underrettet for længe siden.
Fidus 'forskere forsøgte på en ansvarlig måde at afsløre eksponeringen umiddelbart efter, at de fandt den, men de fik intet svar fra Wizards of the Coast. Det var ikke før TechCrunch nåede frem, at spiludvikleren omsider sprang i handling og trak databasen.
At lækagen skete på grund af en temmelig enkel konfigurationsfejl, er foruroligende. Det, der dog er mere foruroligende, er den kendsgerning, at Wizards of the Coast først handlede efter truslen om, at medier, der brød historien, præsenterede sig selv.
Organisationer bør begynde at tænke mere på at beskytte folks privatliv og sikkerhed og mindre om at bevare deres omdømme. Jo før alle er klar over dette, jo bedre.
