„Magic: The Gathering“ kūrėjas perspėja vartotojus pakeisti slaptažodžius po masinio duomenų pažeidimo
„Wikipedia“ duomenimis, nuo 2015 m. „Magic: The Gathering“ (MTG) grojo apie 20 milijonų žmonių. Laimei, ne visi jie turėjo paskyras internetinėje svetainėje, skirtoje hit žaidimui. Tačiau šiek tiek daugiau nei 450 tūkst. Jų tai padarė, ir dabar kai kurie jų asmeniniai duomenys buvo nutekinti internete.
Table of Contents
Kita duomenų bazė liko neaktyvi AWS saugojimo srityje
Nutekėjimą rado „Fidus Information Security“ - ta pati įmonė, kuri neseniai atrado saugumo trūkumą naujame Vatikano išmaniajame rožančių. Tačiau šiuo metu „Fidus“ ekspertams nereikėjo modifikuoti jokių įrenginių ar atsijoti jokių API atsakymų.
Viskas, ką jie turėjo padaryti, buvo ieškoti „Amazon Web Services“ (AWS) saugyklos kibirą, kuris nebuvo apsaugotas slaptažodžiu. Jos viduje jie rado šiek tiek daugiau nei 452 tūkstančius vartotojų įrašų, kuriuose buvo vardai, naudotojų vardai, el. Pašto adresai, slaptažodžiai ir slapti slaptažodžiai bei paskyros sukūrimo datos.
Duomenų bazė į neapsaugotą kibirą pirmą kartą buvo įkelta rugsėjo pradžioje ir, matyt, išliko internete kitus du mėnesius. Tai gali atrodyti ne taip, bet jei to pakaktų, kad „Fidus“ tyrėjai ją rastų, to galėjo užtekti ir elektroniniams nusikaltėliams.
MTG leidėjas daro visuotinai klaidingą konfigūracijos klaidą
Po trumpo tyrimo „Fidus“ tyrėjai suprato, kad duomenų bazė priklauso „Wizards of the Coast“ - Vašingtone esančiam žaidimų leidėjui, kuris 1993 m. Išleido „Magic: The Gathering“. Kaip dažnai būna, kažkas pamiršo tinkamai sukonfigūruoti pažeidžiamą AWS saugyklą. kibirą prieš įkeliant atsarginę duomenų bazės failą, kuriame, beje, taip pat buvo apie 500 įrašų, priklausančių „Wizards of the Coast“ darbuotojams.
Žaidimo leidėjo atstovas spaudai sakė „TechCrunch“, kad jie neturi įrodymų apie piktnaudžiavimą duomenimis. Nukentėjusiems vartotojams bus pranešta ir jie bus paprašyti pakeisti savo slaptažodžius, tik tuo atveju. Remiantis GDPR, apie reguliavimo nutekėjimą buvo informuoti ir ES reguliavimo organai.
Geros naujienos
Neaišku iš kur atsirado duomenų bazė. Vienintelis dalykas, kurį tikrai žinome, yra tai, kad svetainė, kuriai ji priklausė, priklausė „Wizards of the Coast“ ir kad duomenys yra gana seni. „TechCrunch“ darbuotojas Zackas Whittakeris apžvelgė nuotėkio pavyzdį ir pranešė, kad daugelis sąskaitų yra datuojamos 2012 m., Nors yra ir 2018 m. Kranto burtininkai sakė „Whittaker“, kad svetainė dabar „uždaryta“.
Kaip jau minėjome, slaptažodžiai buvo maišyti ir sūdyti, o tai taip pat yra geras dalykas. Panaudotas maišos algoritmas išlieka nežinomas, tačiau Zackas Whittakeris teigia, kad iššifruoti duomenis būtų „sunku“. Atsižvelgiant į santykinai mažą paveiktų paskyrų skaičių ir jų amžių, tikėtina, kad įsilaužėliai neprivers per daug pastangų bandydami pakeisti maišus.
Nelabai geros žinios
Visa tai pasakius, nuotėkio nereikėtų nuvertinti. Duomenų bazėje buvo nemažas kiekis asmeninės informacijos, kuri jokiu būdu nebuvo užšifruota ar apsaugota. Be to, visi, kurie duomenų bazėje prisijungia prie vardų, naudotojų vardų ir el. Laiškų, žinos, kad už jų esančių žmonių domisi MTG, o tai galėtų būti didžiulis pranašumas, jei jie bandytų organizuoti gerai socialiai sukurtą „ieties“ sukčiavimo ataką. Netrukus turėtų būti padaryti pakrantės burtininkai, pranešdami apie tai visiems nukentėjusiems asmenims, ir mes galime tik tikėtis, kad vartotojai gaus visą informaciją, kurios jiems reikia, kad kontroliuotų su nuotėkiu susijusią žalą. Reikalas tas, kad aukoms turėjo būti pranešta seniai.
„Fidus“ tyrėjai bandė atsakingai atskleisti ekspoziciją iškart po to, kai ją rado, tačiau jie negavo jokio atsakymo iš „Wizards of the Coast“. Tik tada, kai „TechCrunch“ pasiekė savo dėmesį, žaidimo kūrėjas pagaliau ėmėsi veiksmų ir sukūrė duomenų bazę.
Nerimą kelia tai, kad nutekėjimas įvyko dėl gana paprastos konfigūracijos klaidos. Vis dėlto labiau liūdina tai, kad pakrantės burtininkai veikė tik po to, kai pasirodė žiniasklaidos priemonių grėsmė, kad ši istorija nutrauks.
Organizacijos turėtų daugiau galvoti apie žmonių privatumo ir saugumo apsaugą, mažiau - apie jų reputacijos išsaugojimą. Kuo anksčiau visi tai supras, tuo geriau.
