Le créateur de 'Magic: The Gathering' avertit les utilisateurs de changer les mots de passe après une violation massive des données

Magic: The Gathering Data Leak

Selon Wikipedia, à partir de 2015, environ 20 millions de personnes ont joué à Magic: The Gathering (MTG). Heureusement, tous ne possédaient pas de compte sur un site Web dédié au jeu à succès. Cependant, un peu plus de 450 000 d’entre eux l’ont fait et, à présent, certaines de leurs données personnelles ont été divulguées en ligne.

Une autre base de données laissée en veille dans un compartiment de stockage AWS

La fuite a été découverte par Fidus Information Security - la même entreprise qui a récemment découvert une faille de sécurité dans le nouveau chapelet intelligent du Vatican. Toutefois, cette fois-ci, les experts de Fidus n’ont pas eu besoin de procéder à une ingénierie inverse ni d’analyser les réponses des API.

Tout ce qu'ils devaient faire était de rechercher dans un compartiment de stockage Amazon Web Services (AWS) qui n'était pas protégé par un mot de passe. À l'intérieur, ils ont trouvé un peu plus de 452 000 enregistrements utilisateur contenant des noms, des noms d'utilisateur, des adresses électroniques, des mots de passe hachés et salés et des dates de création de compte.

La base de données a été chargée pour la première fois dans le compartiment non protégé début septembre et elle est apparemment restée en ligne pendant les deux prochains mois. Cela peut sembler peu, mais s'il suffisait que les chercheurs de Fidus le découvrent, cela aurait peut-être suffi aux cybercriminels pour le localiser également.

L'éditeur de MTG commet une erreur de configuration souvent banale

Après une brève enquête, les chercheurs de Fidus ont réalisé que la base de données appartenait à Wizards of the Coast, l'éditeur de jeux basé à Washington, qui avait publié Magic: The Gathering en 1993. Comme souvent, quelqu'un a oublié de configurer correctement le stockage AWS incriminé. seau avant de télécharger le fichier de base de données de sauvegarde, qui contenait également environ 500 enregistrements appartenant aux employés de Wizards of the Coast.

Un porte-parole de l'éditeur de jeux a déclaré à TechCrunch qu'il ne dispose d'aucune preuve d'utilisation malveillante des données. Les utilisateurs concernés seront avertis et invités à modifier leurs mots de passe, au cas où. Conformément au RGPD, les organes de réglementation de l'UE ont également été informés de la fuite.

La bonne nouvelle

On ignore d'où vient la base de données. La seule chose dont nous sommes sûrs, c’est que le site Web auquel il appartenait appartenait à Wizards of the Coast et que les données sont assez anciennes. Zack Whittaker, de TechCrunch, a examiné un échantillon de la fuite et a indiqué que bon nombre des comptes remontent à 2012, même s'il en existe déjà 2018. Wizards of the Coast a déclaré à Whittaker que le site Web avait maintenant été "déclassé".

Comme nous l'avons déjà mentionné, les mots de passe ont été hachés et salés, ce qui est également une bonne chose. L'algorithme de hachage utilisé reste inconnu, mais Zack Whittaker affirme qu'il serait "difficile" de déchiffrer les données. Compte tenu du nombre relativement petit de comptes concernés et de leur âge, les pirates informatiques ne risquent pas de faire trop d'efforts pour tenter d'inverser les hachages.

La moins bonne nouvelle

Cela dit, il ne faut pas sous-estimer la fuite. La base de données contenait une bonne quantité d'informations personnelles qui n'étaient cryptées ni protégées d'aucune manière. De plus, quiconque accédant aux noms, aux noms d'utilisateur et aux courriels de la base de données saura que MTG s'intéresse à leurs utilisateurs, ce qui pourrait constituer un avantage considérable s'ils tentaient d'organiser une attaque de phishing par phishing bien conçue par la société. Wizards of the Coast devrait notifier bientôt toutes les personnes touchées et nous ne pouvons qu'espérer que les utilisateurs obtiendront toutes les informations nécessaires pour maîtriser les dommages liés à la fuite. Le fait est que les victimes auraient dû être avisées il y a longtemps.

Les chercheurs de Fidus ont tenté de divulguer de manière responsable l’exposition immédiatement après l’avoir trouvée, mais ils n’ont reçu aucune réponse de Wizards of the Coast. Ce n’est que lorsque TechCrunch a atteint que le développeur du jeu est finalement entré en action et a extrait la base de données.

Le fait que la fuite se soit produite à cause d'une erreur de configuration plutôt simple est préoccupant. Ce qui est plus déconcertant, cependant, est le fait que Wizards of the Coast n’a agi que lorsque les médias ont menacé de rompre l’histoire.

Les organisations devraient commencer à réfléchir davantage à la protection de la vie privée et de la sécurité des personnes et moins à la préservation de leur réputation. Plus vite tout le monde s'en rend compte, mieux ce sera.

Par Duran
November 20, 2019
News
Français
November 20, 2019
News

Articles Populaires

Microsoft prévient que les acteurs de la menace soutenus par...

Il y a 4 days

Détection des logiciels malveillants Trojan Al11

Il y a 11 months

Pinaview est une application publicitaire complète

Il y a 10 months

Pop-ups "Votre iCloud est piraté" et "Votre iPhone a été piraté"

Il y a 7 months

Qu'est-ce que Lucky Ransomware ?

Il y a 7 months

Arnaque par e-mail « American Express – Mettez à jour les...

Il y a 6 months
Français
Chargement...

Cyclonis Backup Details & Terms

Le plan Free Basic Cyclonis Backup vous offre 2 Go d'espace de stockage dans le cloud avec toutes les fonctionnalités! Pas de carte de crédit nécessaire. Besoin de plus d'espace de stockage? Achetez un plan Cyclonis Backup plus important dès aujourd'hui! Pour en savoir plus sur nos politiques et nos tarifs, consultez les conditions d'utilisation, la politique de confidentialité, les conditions de remise et la page d'achat. Si vous souhaitez désinstaller l'application, veuillez consulter la page Instructions de désinstallation.

Cyclonis Password Manager Details & Terms

Essai GRATUIT: Offre unique de 30 jours ! Aucune carte de crédit requise pour l'essai gratuit. Fonctionnalité complète pendant toute la durée de l'essai gratuit. (La fonctionnalité complète après l'essai gratuit nécessite l'achat d'un abonnement.) Pour en savoir plus sur nos politiques et nos tarifs, consultez le CLUF, la politique de confidentialité, les conditions de remise et la page d'achat. Si vous souhaitez désinstaller l'application, veuillez consulter la page Instructions de désinstallation.

Accueil

Produits

Cyclonis Backup Cyclonis Password Manager Cyclonis World Time

Assistance

Aide FAQs Downloads Demandes d'informations et Assistance

Société

À propos de nous Contact Us Report Abuse

Legal (Post Merger)

EnigmaSoft Limited (fka Cyclonis Limited)

Cyclonis Backup's Terms of Service Cyclonis Password Manager's EULA Cyclonis World Time's Terms of Service Politique de confidentialité Politique de Cookies Special Discount Offer Terms Additional Terms & Conditions SpyHunter EULA RegHunter EULA EnigmaSoft Privacy Policy & Cookie Policy ESG Privacy Policy & Cookie Policy EnigmaSoft Discount Offer Terms ESG Discount Offer Terms

© 2017-2024 Cyclonis Ltd. CYCLONIS is a trademark of EnigmaSoft Limited (Cyclonis was merged into EnigmaSoft Limited effective November 25, 2023.) All rights reserved.

Registered Office EnigmaSoft Limited: 1 Castle Street, 3rd Floor, Dublin 2 D02 XD82, Ireland.
EnigmaSoft Limited, Private Company Limited by shares, Company Registration Number 597114.

Windows est une marque de Microsoft, déposée aux États-Unis et dans d'autres pays.
Mac, iPhone, iPad et App Store sont des marques commerciales d'Apple Inc., déposées aux États-Unis et dans d'autres pays.
iOS est une marque déposée de Cisco Systems, Inc. et/ou de ses filiales aux États-Unis et dans certains autres pays.
Android et Google Play sont des marques déposées de Google LLC.