Ο δημιουργός του "Magic: The Gathering" προειδοποιεί τους χρήστες να αλλάξουν κωδικούς πρόσβασης μετά από μια μαζική παραβίαση δεδομένων

Σύμφωνα με τη Wikipedia, από το 2015, το Magic: The Gathering (MTG) έπαιξε περίπου 20 εκατομμύρια άνθρωποι. Ευτυχώς, δεν είχαν όλοι τους λογαριασμούς με μια ιστοσελίδα αφιερωμένη στο παιχνίδι hit. Λίγο πάνω από 450 χιλιάδες από αυτούς, ωστόσο, και τώρα, ορισμένα από τα προσωπικά τους δεδομένα έχουν διαρρεύσει στο διαδίκτυο.

Μια άλλη βάση δεδομένων παρέμεινε αδρανής σε ένα κουτί αποθήκευσης AWS

Η διαρροή εντοπίστηκε από την Fidus Information Security - την ίδια εταιρεία που ανακάλυψε πρόσφατα ένα ελάττωμα ασφαλείας στο νέο έξυπνο ροζάρι του Βατικανού. Αυτή τη φορά, όμως, οι ειδικοί της Fidus δεν χρειάστηκαν να αναστρέψουν μηχανισμούς ή να διαχωρίσουν τις απαντήσεις API.

Το μόνο που έπρεπε να κάνουμε ήταν να κοιτάξουμε σε έναν κάδο αποθήκευσης του Amazon Web Services (AWS) που δεν προστατεύεται από έναν κωδικό πρόσβασης. Μέσα από αυτό, βρήκαν λίγο πάνω από 452 χιλιάδες αρχεία χρηστών που περιείχαν ονόματα, ονόματα χρηστών, διευθύνσεις ηλεκτρονικού ταχυδρομείου, παλιούς και αλατισμένους κωδικούς πρόσβασης και ημερομηνίες δημιουργίας λογαριασμού.

Η βάση δεδομένων μεταφορτώθηκε για πρώτη φορά στον απροστάτευτο κάδο στις αρχές Σεπτεμβρίου και προφανώς παρέμεινε συνδεδεμένος για τους επόμενους δύο μήνες. Αυτό μπορεί να μην ακούγεται πολύ, αλλά αν ήταν αρκετό για τους ερευνητές της Fidus να το βρουν, ίσως ήταν αρκετό για τους κυβερνοεγκληματίες να το εντοπίσουν επίσης.

Ο εκδότης της MTG κάνει ένα πολύ συνηθισμένο λάθος λάθους

Μετά από μια σύντομη έρευνα, οι ερευνητές του Fidus συνειδητοποίησαν ότι η βάση δεδομένων ανήκε στην Wizards of the Coast, τον εκδότη παιχνιδιών της Ουάσινγκτον που κυκλοφόρησε το Magic: The Gathering το 1993. Όπως συμβαίνει συχνά, κάποιος ξεχάσει να ρυθμίσει σωστά την παράνομη αποθήκευση AWS πριν από τη μεταφόρτωση του αρχείου βάσης δεδομένων αντιγράφων ασφαλείας, η οποία, παρεμπιπτόντως, περιείχε περίπου 500 εγγραφές που ανήκαν στους υπαλλήλους των Wizards of the Coast.

Ένας εκπρόσωπος του εκδότη παιχνιδιών δήλωσε στην TechCrunch ότι δεν έχει καμιά ένδειξη για κακόβουλη χρήση των δεδομένων. Οι ενδιαφερόμενοι χρήστες θα ενημερωθούν και θα τους ζητηθεί να αλλάξουν τους κωδικούς πρόσβασής τους, για κάθε περίπτωση. Σύμφωνα με το GDPR, τα ρυθμιστικά όργανα στην ΕΕ έχουν επίσης ενημερωθεί για τη διαρροή.

Τα καλά νέα

Δεν είναι σαφές από πού προέρχεται η βάση δεδομένων. Το μόνο που γνωρίζουμε είναι ότι ο ιστότοπος στον οποίο ανήκε ήταν ιδιοκτησία των Wizards of the Coast και ότι τα δεδομένα είναι αρκετά παλιά. Ο Zack Whittaker της TechCrunch εξέτασε ένα δείγμα της διαρροής και ανέφερε ότι πολλοί από τους λογαριασμούς χρονολογούνται από το 2012, αν και υπάρχουν και μερικοί από το 2018. Οι μάγοι της ακτής δήλωσαν στον Whittaker ότι ο ιστότοπος έχει πλέον «παροπλιστεί».

Όπως αναφέρθηκε ήδη, οι κωδικοί πρόσβασης έχουν χυθεί και αλατιστεί, πράγμα που είναι επίσης καλό. Ο αλγόριθμος κατακερματισμού που χρησιμοποιήθηκε παραμένει άγνωστος, αλλά ο Zack Whittaker λέει ότι η αποκρυπτογράφηση των δεδομένων θα είναι "δύσκολη". Λαμβάνοντας υπόψη το σχετικά μικρό αριθμό επηρεαζόμενων λογαριασμών και την ηλικία τους, οι hackers είναι απίθανο να βάλουν πάρα πολλή προσπάθεια προσπαθώντας να αντιστρέψουν τα hashes.

Τα όχι τόσο καλά νέα

Έχοντας πει όλα αυτά, η διαρροή δεν πρέπει να υποτιμάται. Η βάση δεδομένων περιλάμβανε ένα σωστό ποσό προσωπικών πληροφοριών που δεν ήταν κρυπτογραφημένες ή προστατευμένες με κανέναν τρόπο. Επιπλέον, όσοι έχουν πρόσβαση στα ονόματα, τα ονόματα χρηστών και τα μηνύματα ηλεκτρονικού ταχυδρομείου στη βάση δεδομένων θα γνωρίζουν ότι οι άνθρωποι πίσω τους ενδιαφέρονται για το MTG, το οποίο θα μπορούσε να είναι ένα τεράστιο πλεονέκτημα αν προσπαθούν να οργανώσουν μια καλά κοινωνικά σχεδιασμένη επίθεση δόλιου phishing. Οι μάγοι της Ακτής θα πρέπει σύντομα να ενημερώνονται για όλα τα άτομα που έχουν πληγεί και μπορούμε μόνο να ελπίζουμε ότι οι χρήστες θα λάβουν όλες τις πληροφορίες που χρειάζονται για να διατηρήσουν τις βλάβες που σχετίζονται με τη διαρροή υπό έλεγχο. Το θέμα είναι ότι τα θύματα θα έπρεπε να έχουν ενημερωθεί εδώ και πολύ καιρό.

Οι ερευνητές του Fidus προσπάθησαν να αποκαλύψουν υπεύθυνα την έκθεση αμέσως μόλις το βρήκαν, αλλά δεν έλαβαν απάντηση από τους Wizards of the Coast. Δεν ήταν μέχρι που η TechCrunch έφτασε στο συμπέρασμα ότι ο προγραμματιστής του παιχνιδιού τελικά ξεπήδησε σε δράση και τράβηξε τη βάση δεδομένων.

Το γεγονός ότι η διαρροή συνέβη λόγω ενός μάλλον απλού σφάλματος διαμόρφωσης είναι ανησυχητικό. Το πιο ενοχλητικό όμως είναι το γεγονός ότι οι Wizards of the Coast ενήργησαν μόνο μετά την απειλή ότι τα μέσα ενημέρωσης που σπάζουν την ιστορία παρουσιάστηκαν.

Οι οργανισμοί πρέπει να αρχίσουν να σκέπτονται περισσότερα για την προστασία της ιδιωτικότητας και της ασφάλειας των πολιτών και λιγότερο για τη διατήρηση της φήμης τους. Όσο πιο γρήγορα συνειδητοποιήσει κανείς αυτό, τόσο το καλύτερο.