「Magic:The Gathering」の作成者は、大規模なデータ侵害の後、パスワードを変更するようユーザーに警告します

Magic: The Gathering Data Leak

Wikipediaによると、2015年現在、Magic:The Gathering(MTG)は約2,000万人がプレイしました。幸いなことに、彼ら全員がヒットゲーム専用のウェブサイトを持つアカウントを持っていたわけではありません。しかし、そのうちの45万人をわずかに上回りましたが、現在では一部の個人データがオンラインで漏洩しています。

別のデータベースがAWSストレージバケットに休止状態のままになりました

リークは、Fidus Information Securityによって発見されました。これは、バチカンの新しいスマートロザリオでセキュリティの欠陥を最近発見した同じ会社です。しかし今回は、Fidusの専門家がデバイスをリバースエンジニアリングしたり、APIレスポンスを選別する必要はありませんでした。

彼らがする必要があるのは、パスワードで保護されていないAmazon Web Services(AWS)ストレージバケットを調べることだけでした。その中に、名前、ユーザー名、電子メールアドレス、ハッシュ化されソルトされたパスワード、アカウント作成日を含む45万2千を超えるユーザーレコードが見つかりました。

データベースは9月初旬に保護されていないバケットに最初にアップロードされ、今後2か月間はオンラインのままであったようです。これはあまり聞こえないかもしれませんが、フィダスの研究者がそれを見つけるのに十分であれば、サイバー犯罪者もそれを見つけるのに十分だったかもしれません。

MTGの発行者は、ありがちな設定ミスを犯します

簡単な調査の後、ファイダスの研究者は、1993年にMagic:The Gatheringをリリースしたワシントン州のゲーム出版社であるWizards of the Coastにデータベースが属していることに気付きました。バックアップデータベースファイルをアップロードする前のバケット。ちなみに、Wizards of the Coastの従業員に属する約500件のレコードも含まれていました。

ゲームのパブリッシャーの広報担当者はTechCrunchに、データの悪用の証拠がないことを伝えました。念のため、影響を受けるユーザーに通知され、パスワードを変更するように求められます。 GDPRに従って、EUの規制機関もリークを認識しています。

良いニュース

データベースがどこから来たのかは不明です。私たちが確実に知っている唯一のことは、それが属しているWebサイトがWizards of the Coastによって所有されていて、データがかなり古いことです。 TechCrunchのZack Whittakerはリークのサンプルをレビューし、多くのアカウントは2012年までさかのぼると報告しましたが、2018年にもいくつかあります。ウィザーズ・オブ・ザ・コーストは、ウェブサイトが「廃止」されたとウィテカーに語った。

既に述べたように、パスワードはハッシュ化され、ソルト化されました。これも良いことです。使用されたハッシュアルゴリズムは不明のままですが、Zack Whittakerは、データを解読することは「難しい」と言っています。影響を受けるアカウントの数が比較的少ないこととその年齢を考慮すると、ハッカーはハッシュを元に戻そうと努力することはあまりありません。

あまり良くないニュース

そうは言っても、リークを過小評価すべきではありません。データベースには、暗号化または保護されていない個人情報がかなり含まれていました. さらに、データベース内の名前、ユーザー名、および電子メールにアクセスする人は誰でも、その背後にいる人々がMTGに関心を持っていることを知っています。 Wizards of the Coastは、影響を受けるすべての個人にすぐに通知する必要があります。リークに関連する被害を制御するために、ユーザーが必要な情報をすべて入手できることを願っています。事は、犠牲者はずっと前に通知されるべきだったということです。

フィダスの研究者は、暴露を発見した直後に責任を持って開示しようとしたが、ウィザーズ・オブ・ザ・コーストからの回答は得られなかった。ゲーム開発者がついに行動に移り、データベースを引き出したのは、TechCrunchが連絡をとるまでではありませんでした。

かなり単純な設定ミスが原因でリークが発生したという事実は心配です。しかし、より困惑させているのは、ウィザーズオブザコーストが、メディアアウトレットがストーリーを壊すという脅威が現れた後にのみ行動したという事実です。

組織は、人々のプライバシーとセキュリティを保護することをより重視し、評判を維持することよりも考え始める必要があります。誰もがこれに気付くのが早ければ早いほどよい。

November 20, 2019

返信を残す

重要!続行するには、次の簡単な数学を解く必要があります。
Please leave these two fields as is:
7 + 4とは?