Il creatore di "Magic: The Gathering" avvisa gli utenti di cambiare le password dopo una massiccia violazione dei dati
Secondo Wikipedia, a partire dal 2015, Magic: The Gathering (MTG) è stato interpretato da circa 20 milioni di persone. Fortunatamente, non tutti avevano account con un sito web dedicato al gioco di successo. Poco più di 450 mila di loro, tuttavia, lo hanno fatto e ora, alcuni dei loro dati personali sono stati divulgati online.
Table of Contents
Un altro database è rimasto inattivo in un bucket di archiviazione AWS
La perdita è stata trovata da Fidus Information Security, la stessa società che ha recentemente scoperto un difetto di sicurezza nel nuovo rosario intelligente del Vaticano. Questa volta, tuttavia, gli esperti di Fidus non avevano bisogno di decodificare alcun dispositivo o vagliare le risposte API.
Tutto quello che dovevano fare era cercare in un bucket di archiviazione Amazon Web Services (AWS) che non era protetto da password. Al suo interno, hanno trovato poco più di 452 mila record di utenti che contenevano nomi, nomi utente, indirizzi e-mail, password con hash e salate e date di creazione dell'account.
Il database è stato caricato per la prima volta nel bucket non protetto all'inizio di settembre e apparentemente è rimasto online per i prossimi due mesi. Questo potrebbe non sembrare molto, ma se fosse stato sufficiente per trovarlo dai ricercatori di Fidus, sarebbe potuto bastare anche ai criminali informatici per individuarlo.
L'editore di MTG commette un errore di configurazione errato fin troppo comune
Dopo una breve indagine, i ricercatori di Fidus hanno capito che il database apparteneva a Wizards of the Coast, l'editore di giochi con sede a Washington che ha pubblicato Magic: The Gathering nel 1993. Come spesso accade, qualcuno ha dimenticato di configurare correttamente l'archiviazione AWS offensiva prima di caricare il file del database di backup, che, tra l'altro, conteneva anche circa 500 record appartenenti ai dipendenti di Wizards of the Coast.
Un portavoce per l'editore del gioco ha dichiarato a TechCrunch di non avere prove di alcun uso dannoso dei dati. Gli utenti interessati verranno avvisati e verrà chiesto di modificare le loro password, per ogni evenienza. In conformità con il GDPR, anche gli organi di regolamentazione nell'UE sono stati informati della perdita.
Le buone notizie
Non è chiaro da dove provenga il database. L'unica cosa che sappiamo per certo è che il sito web a cui apparteneva era di proprietà di Wizards of the Coast e che i dati sono piuttosto vecchi. Zack Whittaker di TechCrunch ha esaminato un campione della perdita e ha riferito che molti dei conti risalgono al 2012, anche se ce ne sono anche alcuni dal 2018. Wizards of the Coast ha dichiarato a Whittaker che il sito Web è stato "disattivato".
Come abbiamo già detto, le password sono state tratteggiate e salate, il che è anche una buona cosa. L'algoritmo di hashing utilizzato rimane sconosciuto, ma Zack Whittaker afferma che decodificare i dati sarebbe "difficile". Considerando il numero relativamente piccolo di account interessati e la loro età, è improbabile che gli hacker facciano troppi sforzi nel tentativo di invertire gli hash.
Le notizie non così buone
Detto questo, la perdita non dovrebbe essere sottovalutata. Il database conteneva una discreta quantità di informazioni personali che non erano crittografate o protette in alcun modo. Inoltre, chiunque acceda a nomi, nomi utente ed e-mail nel database saprà che le persone dietro di loro sono interessate a MTG, il che potrebbe essere un enorme vantaggio se stanno cercando di organizzare un attacco di spear phishing ben progettato socialmente. Wizards of the Coast dovrebbe presto essere fatto avvisando tutte le persone colpite e possiamo solo sperare che gli utenti possano ottenere tutte le informazioni di cui hanno bisogno per tenere sotto controllo i danni associati alla perdita. Il fatto è che le vittime avrebbero dovuto essere avvisate molto tempo fa.
I ricercatori di Fidus hanno cercato di rivelare responsabilmente l'esposizione subito dopo averla trovata, ma non hanno ricevuto risposta da Wizards of the Coast. Non è stato fino a quando TechCrunch ha capito che lo sviluppatore del gioco è finalmente entrato in azione e ha estratto il database.
Il fatto che la perdita si sia verificata a causa di un errore di configurazione piuttosto semplice è preoccupante. Ciò che è più sconcertante, tuttavia, è il fatto che Wizards of the Coast ha agito solo dopo che la minaccia dei media che hanno rotto la storia si è presentata.
Le organizzazioni dovrebbero iniziare a pensare di più a proteggere la privacy e la sicurezza delle persone e meno a preservare la loro reputazione. Prima lo capiscono tutti, meglio è.
