Skaperen av 'Magic: The Gathering' advarer brukere om å endre passord etter et enormt datainnbrudd

Magic: The Gathering Data Leak

Ifølge Wikipedia ble fra og med 2015 Magic: The Gathering (MTG) spilt av rundt 20 millioner mennesker. Heldigvis hadde ikke alle kontoer med et nettsted dedikert til treffspillet. Litt over 450 tusen av dem gjorde det imidlertid, og nå har noen av personopplysningene deres blitt lekket på nettet.

En annen database ble liggende i en AWS-lagringsbøtte

Lekkasjen ble funnet av Fidus Information Security - det samme selskapet som nylig oppdaget en sikkerhetsfeil i Vatikanets nye smarte rosenkrans. Denne gangen trengte Fidus 'eksperter imidlertid ikke å reversere noen enheter eller sile gjennom noen API-svar.

Alt de trengte å gjøre var å se i en Amazon Web Services (AWS) lagringsbøtte som ikke var beskyttet av et passord. Inni i den fant de litt over 452 tusen brukerposter som inneholdt navn, brukernavn, e-postadresser, hashede og saltede passord og datoen for opprettelse av kontoer.

Databasen ble først lastet opp til den ubeskyttede bøtten i begynnelsen av september, og den ble tilsynelatende online i de neste to månedene. Dette høres kanskje ikke ut som mye, men hvis det var nok for Fidus 'forskere å finne det, kan det ha vært nok for nettkriminelle å finne det også.

MTGs utgiver gjør en altfor vanlig feilkonfigurasjonsfeil

Etter en kort undersøkelse innså Fidus ’forskere at databasen tilhørte Wizards of the Coast, det Washington-baserte spillutgiveren som ga ut Magic: The Gathering tilbake i 1993. Som ofte er tilfelle, glemte noen å konfigurere den fornærmende AWS-lagringen på riktig måte bøtte før du laste opp sikkerhetskopidatabasefilen, som for øvrig også inneholdt rundt 500 poster som tilhørte Wizards of the Coast-ansatte.

En talsperson for spillutgiveren fortalte TechCrunch at de ikke har bevis for noen ondsinnet bruk av dataene. De berørte brukerne vil bli varslet og vil bli bedt om å endre passord, bare i tilfelle. I samsvar med GDPR har reguleringsorganene i EU også blitt gjort oppmerksom på lekkasjen.

De gode nyhetene

Det er uklart hvor databasen kom fra. Det eneste vi vet med sikkerhet er at nettstedet det tilhørte var eid av Wizards of the Coast og at dataene er ganske gamle. Techackrunchs Zack Whittaker gjennomgikk et utvalg av lekkasjen og rapporterte at mange av regnskapene dateres så langt tilbake som 2012, selv om det er noen fra 2018 også. Wizards of the Coast fortalte Whittaker at nettstedet nå er blitt «tatt ut av drift».

Som vi allerede nevnte, passordene ble hashet og saltet, noe som også er en god ting. Hashingsalgoritmen som ble brukt forblir ukjent, men Zack Whittaker sier at det å "kryptere dataene" ville være "vanskelig". Tatt i betraktning det relativt lille antallet berørte kontoer og deres alder, er det sannsynlig at hackerne ikke legger for mye arbeid i å prøve å snu hasjene.

Den ikke så gode nyheten

Når det er sagt alt, skal ikke lekkasjen undervurderes. Databasen inneholdt en god del personlig informasjon som ikke ble kryptert eller beskyttet på noen måte. Dessuten vil alle som får tilgang til navn, brukernavn og e-post i databasen, vite at menneskene bak dem er interessert i MTG, noe som kan være en massiv fordel hvis de prøver å organisere et godt sosialt konstruert spydfiskeangrep. Wizards of the Coast bør snart gjøres oppmerksom på alle berørte individer, og vi kan bare håpe at brukere vil få all informasjonen de trenger for å holde skadene forbundet med lekkasjen under kontroll. Saken er at ofre skal ha blitt varslet for lenge siden.

Fidus 'forskere forsøkte å avsløre eksponeringen på en ansvarlig måte rett etter at de fant den, men de fikk ingen respons fra Wizards of the Coast. Det var ikke før TechCrunch nådde ut at spillutvikleren til slutt sprang ut i aksjon og trakk databasen.

At lekkasjen skjedde på grunn av en ganske enkel konfigurasjonsfeil er bekymringsfullt. Det som er mer foruroligende, er imidlertid at Wizards of the Coast først handlet etter at trusselen om at medier som brøt historien presenterte seg.

Organisasjoner bør begynne å tenke mer på å beskytte folks privatliv og sikkerhet og mindre om å bevare sitt rykte. Jo tidligere alle innser dette, jo bedre.

November 20, 2019

Legg igjen et svar

VIKTIG! For å kunne gå videre, må du løse følgende enkle matematikk.
Please leave these two fields as is:
Hva er 2 + 5?