A 'Magic: The Gathering' készítője figyelmezteti a felhasználókat, hogy hatalmas adatsértés után változtassák meg a jelszavakat
A Wikipedia szerint 2015-ben a Magic: The Gathering (MTG) játékot körülbelül 20 millió ember játszotta. Szerencsére nem mindegyiknek volt számlája egy olyan weboldalon, amely a hit játékra volt szentelt. Ezek közül kicsit több mint 450 ezer tett meg, és most személyes adataik egy részét online kiszivárogtatják.
Table of Contents
Egy másik adatbázis nyugvó állapotban maradt egy AWS tárolóvödörben
A szivárgást a Fidus Information Security találta - ugyanaz a cég, amely a közelmúltban biztonsági hibát fedezett fel a Vatikán új intelligens rózsafüzérén. Ebben az időben azonban a Fidus szakértőinek nem kellett semmilyen eszközt megtervezniük, sem az API-válaszokat átvizsgálniuk.
Csak annyit kellett keresniük, hogy egy Amazon Web Services (AWS) tárolóvödröt kerestek, amelyet nem védett jelszóval. Ezen belül valamivel több mint 452 ezer felhasználói rekordot találtak, amelyek neveket, felhasználóneveket, e-mail címeket, kivonatolt és sózott jelszavakat, valamint a fiók létrehozásának dátumait tartalmazták.
Az adatbázist először szeptember elején töltötte fel a nem védett vödörbe, és nyilvánvalóan online maradt a következő két hónapban. Lehet, hogy ez nem igazán hangzik, de ha elegendő volt a Fidus kutatóinak megtalálni, akkor az elegendő lett volna, ha a számítógépes bűnözők is megtalálják.
Az MTG kiadója egy általános hibás konfigurációs hibát követ el
Rövid vizsgálat után a Fidus kutatói rájöttek, hogy az adatbázis a Wizards of the Coastnak, a washingtoni játékkiadónak, amely 1993-ban kiadta a Magic: The Gathering kiadványt. Mint gyakran fordul elő, valaki elfelejtette megfelelően beállítani a sértő AWS tárolót. vödröt, mielőtt feltöltné a biztonsági mentési adatbázis fájlt, amely egyébként mintegy 500 rekordot tartalmazott a Wizards of the Coast alkalmazottainak.
A játékkiadó szóvivője elmondta a TechCrunch-nak, hogy nincsenek bizonyítékai az adatok rosszindulatú felhasználására. Az érintett felhasználókat értesítjük, és felkérjük őket jelszó megváltoztatására, minden esetre. A GDPR-vel összhangban az EU szabályozó szerveit szintén tudomásul vették a szivárgásról.
A jó hírek
Nem egyértelmű, honnan származott az adatbázis. Az egyetlen dolog, amit biztosan tudunk, az a webhely, amelyhez tartozott, a Wizards of the Coast tulajdonában volt, és hogy az adatok meglehetősen régiak. A TechCrunch Zack Whittaker áttekintette a szivárgás mintáját, és arról számolt be, hogy sok beszámoló 2012-ig nyúlik vissza, bár vannak ilyenek 2018-tól is. A parti varázslók elmondták Whittakernek, hogy a weboldalt "leszerelték".
Mint már említettük, a jelszavakat kivágták és sóztak, ami szintén jó dolog. A használt hash algoritmus ismeretlen marad, ám Zack Whittaker azt állítja, hogy az adatok kibontása "nehéz". Figyelembe véve az érintett fiókok viszonylag kis számát és életkorát, a hackerek valószínűleg nem fognak túl sok erőfeszítést tenni a hash-ek megfordításának megkísérelésére.
A nem túl jó hír
Mindezek után a szivárgást nem szabad alábecsülni. Az adatbázis valós mennyiségű személyes információt tartalmazott, amelyet semmilyen módon nem lehetett titkosítani vagy védeni. Sőt, bárki, aki hozzáfér az adatbázisba a nevekhez, felhasználónevekhez és e-mailekhez, tudni fogja, hogy a mögöttük lévő emberek érdeklődnek az MTG iránt. A parti varázslók hamarosan elkészítik az összes érintett személy értesítését, és csak remélhetjük, hogy a felhasználók megkapják az összes szükséges információt ahhoz, hogy a szivárgáshoz kapcsolódó károkat ellenőrzés alatt tartsák. A helyzet az, hogy az áldozatokat már régen értesíteni kellett volna.
A Fidus kutatói megpróbálták felelősségteljesen nyilvánosságra hozni az expozíciót azonnal, miután megtalálták, de a Coast Wizards nem kapott választ. Csak addig, amíg a TechCrunch el nem érte, a játékfejlesztő végre cselekedett és behúzta az adatbázist.
Aggasztó az a tény, hogy a szivárgás meglehetősen egyszerű konfigurációs hiba miatt történt. Inkább nyugtalanító az a tény, hogy a partvidéki varázslók csak akkor cselekedtek, amikor a média megjelenése fenyegette a történetet.
A szervezeteknek inkább az emberek magánéletének és biztonságának védelmére, és kevésbé a jó hírneve megóvására kell gondolkodniuk. Minél hamarabb mindenki észreveszi, annál jobb.
