Der Schöpfer von "Magic: The Gathering" warnt Benutzer, Kennwörter nach einer massiven Datenverletzung zu ändern
Laut Wikipedia wurde Magic: The Gathering (MTG) ab 2015 von etwa 20 Millionen Menschen gespielt. Glücklicherweise hatten nicht alle von ihnen Konten mit einer Website, die dem Hitspiel gewidmet war. Etwas mehr als 450.000 von ihnen haben es jedoch getan, und jetzt sind einige ihrer persönlichen Daten online durchgesickert.
Table of Contents
Eine andere Datenbank ist in einem AWS-Speicher-Bucket inaktiv
Das Leck wurde von Fidus Information Security gefunden - dem gleichen Unternehmen, das kürzlich eine Sicherheitslücke im neuen Rosenkranz des Vatikans entdeckt hat. Diesmal mussten die Experten von Fidus jedoch keine Geräte zurückentwickeln oder API-Antworten sichten.
Sie mussten lediglich einen Amazon Web Services-Speicherbereich (AWS) durchsuchen, der nicht durch ein Kennwort geschützt war. Darin fanden sie etwas mehr als 452.000 Benutzerdatensätze, die Namen, Benutzernamen, E-Mail-Adressen, gehashte und gesalzene Kennwörter sowie das Datum der Kontoerstellung enthielten.
Die Datenbank wurde zum ersten Mal Anfang September in den ungeschützten Bucket hochgeladen und blieb anscheinend die nächsten zwei Monate online. Das hört sich vielleicht nicht nach viel an, aber wenn es den Forschern von Fidus genügt hätte, es zu finden, hätte es auch Cyberkriminellen genügt, es zu lokalisieren.
Der Herausgeber von MTG begeht einen allzu häufigen Konfigurationsfehler
Nach einer kurzen Untersuchung stellten die Fidus-Forscher fest, dass die Datenbank Wizards of the Coast gehörte, dem in Washington ansässigen Spiele-Publisher, der 1993 Magic: The Gathering herausgab. Wie so oft vergaß jemand, den anstößigen AWS-Speicher richtig zu konfigurieren Eimer vor dem Hochladen der Backup-Datenbank-Datei, die übrigens auch rund 500 Datensätze von Wizards of the Coast-Mitarbeitern enthielt.
Ein Sprecher des Spieleherstellers teilte TechCrunch mit, dass er keine Hinweise auf eine böswillige Verwendung der Daten habe. Die betroffenen Benutzer werden benachrichtigt und aufgefordert, ihre Passwörter für alle Fälle zu ändern. Entsprechend der DSGVO wurden auch die Regulierungsorgane in der EU auf das Leck aufmerksam gemacht.
Die guten Nachrichten
Es ist unklar, woher die Datenbank stammt. Das einzige, was wir mit Sicherheit wissen, ist, dass die Website, zu der sie gehörte, im Besitz von Wizards of the Coast war und dass die Daten ziemlich alt sind. Zack Whittaker von TechCrunch überprüfte eine Stichprobe des Lecks und berichtete, dass viele der Konten bereits im Jahr 2012 erstellt wurden, obwohl es auch einige ab 2018 gibt. Wizards of the Coast teilte Whittaker mit, dass die Website jetzt "außer Betrieb genommen" wurde.
Wie bereits erwähnt, wurden die Passwörter gehasht und gesalzen, was auch gut ist. Der verwendete Hashing-Algorithmus ist weiterhin unbekannt, aber Zack Whittaker sagt, dass das Entschlüsseln der Daten "schwierig" wäre. Angesichts der relativ geringen Anzahl betroffener Accounts und ihres Alters ist es unwahrscheinlich, dass die Hacker zu viel Mühe darauf verwenden, die Hashes rückgängig zu machen.
Die nicht so gute Nachricht
Trotzdem ist das Leck nicht zu unterschätzen. Die Datenbank enthielt eine ganze Menge persönlicher Informationen, die weder verschlüsselt noch in irgendeiner Weise geschützt waren. Darüber hinaus weiß jeder, der auf die Namen, Benutzernamen und E-Mails in der Datenbank zugreift, dass die dahinterstehenden Personen an MTG interessiert sind. Dies könnte ein enormer Vorteil sein, wenn er versucht, einen technisch ausgereiften Spear-Phishing-Angriff zu organisieren. Wizards of the Coast sollten bald alle betroffenen Personen benachrichtigen, und wir können nur hoffen, dass die Benutzer alle Informationen erhalten, die sie benötigen, um den mit dem Leck verbundenen Schaden unter Kontrolle zu halten. Die Sache ist, die Opfer hätten vor langer Zeit benachrichtigt werden sollen.
Die Fidus-Forscher versuchten, die Exposition unmittelbar nach ihrer Entdeckung verantwortungsvoll offenzulegen, erhielten jedoch keine Antwort von Wizards of the Coast. Erst als TechCrunch die Hand ausstreckte, trat der Spieleentwickler endlich in Aktion und zog die Datenbank heraus.
Die Tatsache, dass das Leck aufgrund eines recht einfachen Konfigurationsfehlers aufgetreten ist, ist besorgniserregend. Was jedoch noch beunruhigender ist, ist die Tatsache, dass Wizards of the Coast erst handelten, nachdem die Gefahr bestand, dass Medien die Geschichte brechen würden.
Unternehmen sollten mehr über den Schutz der Privatsphäre und der Sicherheit der Menschen nachdenken und weniger über die Wahrung ihres Ansehens. Je früher dies jeder merkt, desto besser.
