Le créateur de 'Magic: The Gathering' avertit les utilisateurs de changer les mots de passe après une violation massive des données

Magic: The Gathering Data Leak

Selon Wikipedia, à partir de 2015, environ 20 millions de personnes ont joué à Magic: The Gathering (MTG). Heureusement, tous ne possédaient pas de compte sur un site Web dédié au jeu à succès. Cependant, un peu plus de 450 000 d’entre eux l’ont fait et, à présent, certaines de leurs données personnelles ont été divulguées en ligne.

Une autre base de données laissée en veille dans un compartiment de stockage AWS

La fuite a été découverte par Fidus Information Security - la même entreprise qui a récemment découvert une faille de sécurité dans le nouveau chapelet intelligent du Vatican. Toutefois, cette fois-ci, les experts de Fidus n’ont pas eu besoin de procéder à une ingénierie inverse ni d’analyser les réponses des API.

Tout ce qu'ils devaient faire était de rechercher dans un compartiment de stockage Amazon Web Services (AWS) qui n'était pas protégé par un mot de passe. À l'intérieur, ils ont trouvé un peu plus de 452 000 enregistrements utilisateur contenant des noms, des noms d'utilisateur, des adresses électroniques, des mots de passe hachés et salés et des dates de création de compte.

La base de données a été chargée pour la première fois dans le compartiment non protégé début septembre et elle est apparemment restée en ligne pendant les deux prochains mois. Cela peut sembler peu, mais s'il suffisait que les chercheurs de Fidus le découvrent, cela aurait peut-être suffi aux cybercriminels pour le localiser également.

L'éditeur de MTG commet une erreur de configuration souvent banale

Après une brève enquête, les chercheurs de Fidus ont réalisé que la base de données appartenait à Wizards of the Coast, l'éditeur de jeux basé à Washington, qui avait publié Magic: The Gathering en 1993. Comme souvent, quelqu'un a oublié de configurer correctement le stockage AWS incriminé. seau avant de télécharger le fichier de base de données de sauvegarde, qui contenait également environ 500 enregistrements appartenant aux employés de Wizards of the Coast.

Un porte-parole de l'éditeur de jeux a déclaré à TechCrunch qu'il ne dispose d'aucune preuve d'utilisation malveillante des données. Les utilisateurs concernés seront avertis et invités à modifier leurs mots de passe, au cas où. Conformément au RGPD, les organes de réglementation de l'UE ont également été informés de la fuite.

La bonne nouvelle

On ignore d'où vient la base de données. La seule chose dont nous sommes sûrs, c’est que le site Web auquel il appartenait appartenait à Wizards of the Coast et que les données sont assez anciennes. Zack Whittaker, de TechCrunch, a examiné un échantillon de la fuite et a indiqué que bon nombre des comptes remontent à 2012, même s'il en existe déjà 2018. Wizards of the Coast a déclaré à Whittaker que le site Web avait maintenant été "déclassé".

Comme nous l'avons déjà mentionné, les mots de passe ont été hachés et salés, ce qui est également une bonne chose. L'algorithme de hachage utilisé reste inconnu, mais Zack Whittaker affirme qu'il serait "difficile" de déchiffrer les données. Compte tenu du nombre relativement petit de comptes concernés et de leur âge, les pirates informatiques ne risquent pas de faire trop d'efforts pour tenter d'inverser les hachages.

La moins bonne nouvelle

Cela dit, il ne faut pas sous-estimer la fuite. La base de données contenait une bonne quantité d'informations personnelles qui n'étaient cryptées ni protégées d'aucune manière. De plus, quiconque accédant aux noms, aux noms d'utilisateur et aux courriels de la base de données saura que MTG s'intéresse à leurs utilisateurs, ce qui pourrait constituer un avantage considérable s'ils tentaient d'organiser une attaque de phishing par phishing bien conçue par la société. Wizards of the Coast devrait notifier bientôt toutes les personnes touchées et nous ne pouvons qu'espérer que les utilisateurs obtiendront toutes les informations nécessaires pour maîtriser les dommages liés à la fuite. Le fait est que les victimes auraient dû être avisées il y a longtemps.

Les chercheurs de Fidus ont tenté de divulguer de manière responsable l’exposition immédiatement après l’avoir trouvée, mais ils n’ont reçu aucune réponse de Wizards of the Coast. Ce n’est que lorsque TechCrunch a atteint que le développeur du jeu est finalement entré en action et a extrait la base de données.

Le fait que la fuite se soit produite à cause d'une erreur de configuration plutôt simple est préoccupant. Ce qui est plus déconcertant, cependant, est le fait que Wizards of the Coast n’a agi que lorsque les médias ont menacé de rompre l’histoire.

Les organisations devraient commencer à réfléchir davantage à la protection de la vie privée et de la sécurité des personnes et moins à la préservation de leur réputation. Plus vite tout le monde s'en rend compte, mieux ce sera.

November 20, 2019

Laisser une Réponse

IMPORTANT! Pour pouvoir procéder, vous devrez résoudre le calcul simple suivant.
Please leave these two fields as is:
Qu'est-ce que 9 + 5 ?