De maker van 'Magic: The Gathering' waarschuwt gebruikers om wachtwoorden te wijzigen na een enorme datalek
Volgens Wikipedia werd Magic: The Gathering (MTG) vanaf 2015 gespeeld door ongeveer 20 miljoen mensen. Gelukkig hadden ze niet allemaal een account met een website gewijd aan het populaire spel. Iets meer dan 450 duizend van hen deden dit echter en nu zijn sommige van hun persoonlijke gegevens online gelekt.
Table of Contents
Een andere database bleef in een AWS-opslagemmer slapende
Het lek werd gevonden door Fidus Information Security - hetzelfde bedrijf dat onlangs een beveiligingsfout ontdekte in de nieuwe slimme rozenkrans van het Vaticaan. Deze keer hoefden de experts van Fidus echter geen apparaten te reverse-engineeren of API-reacties te doorzoeken.
Het enige dat ze moesten doen, was kijken in een Amazon Web Services (AWS) -opslagemmer die niet met een wachtwoord was beveiligd. Daarin vonden ze iets meer dan 452 duizend gebruikersrecords met namen, gebruikersnamen, e-mailadressen, gehashte en gezouten wachtwoorden en datums voor het maken van een account.
De database werd begin september voor het eerst geüpload naar de onbeveiligde bucket en bleef blijkbaar de komende twee maanden online. Dit klinkt misschien niet zo veel, maar als het genoeg was voor de onderzoekers van Fidus om het te vinden, was het misschien ook genoeg voor cybercriminelen om het te lokaliseren.
De uitgever van MTG maakt een al te vaak voorkomende fout in de configuratie
Na een kort onderzoek beseften de onderzoekers van Fidus dat de database toebehoorde aan Wizards of the Coast, de in Washington gevestigde game-uitgever die Magic: The Gathering in 1993 uitbracht. Zoals vaak vergat iemand de juiste AWS-opslag correct te configureren bucket voordat het back-updatabasebestand werd geüpload, dat trouwens ook ongeveer 500 records van medewerkers van Wizards of the Coast bevatte.
Een woordvoerder van de game-uitgever vertelde TechCrunch dat ze geen bewijs hebben van enig kwaadaardig gebruik van de gegevens. De getroffen gebruikers worden op de hoogte gebracht en worden gevraagd hun wachtwoord te wijzigen, voor het geval dat. In overeenstemming met de AVG zijn de regelgevende organen in de EU ook op de hoogte gebracht van het lek.
Het goede nieuws
Het is onduidelijk waar de database vandaan kwam. Het enige dat we zeker weten is dat de website waar het bij hoorde eigendom was van Wizards of the Coast en dat de gegevens vrij oud zijn. TechCrunch's Zack Whittaker heeft een steekproef van het lek beoordeeld en gemeld dat veel van de accounts al in 2012 dateren, hoewel er ook enkele uit 2018 zijn. Wizards of the Coast vertelde Whittaker dat de website nu 'buiten gebruik' is gesteld.
Zoals we al vermeldden, waren de wachtwoorden gehasht en gezouten, wat ook een goede zaak is. Het gebruikte hash-algoritme blijft onbekend, maar Zack Whittaker zegt dat het ontsleutelen van de gegevens "moeilijk" zou zijn. Gezien het relatief kleine aantal getroffen accounts en hun leeftijd is het onwaarschijnlijk dat de hackers teveel moeite zullen doen om de hashes om te keren.
Het niet-zo-goede nieuws
Dit alles gezegd hebbende, moet het lek niet worden onderschat. De database bevatte een behoorlijke hoeveelheid persoonlijke informatie die op geen enkele manier was gecodeerd of beschermd. Bovendien weet iedereen die toegang heeft tot de namen, gebruikersnamen en e-mails in de database dat de mensen achter hen geïnteresseerd zijn in MTG, wat een enorm voordeel kan zijn als ze proberen een goed sociaal ontwikkelde spear phishing-aanval te organiseren. Wizards of the Coast zou binnenkort klaar moeten zijn met het melden van alle getroffen personen, en we kunnen alleen maar hopen dat gebruikers alle informatie krijgen die ze nodig hebben om de schade in verband met het lek onder controle te houden. Het punt is dat slachtoffers lang geleden op de hoogte hadden moeten worden gesteld.
De onderzoekers van Fidus probeerden de blootstelling op een verantwoorde manier te onthullen onmiddellijk nadat ze deze hadden gevonden, maar ze kregen geen reactie van Wizards of the Coast. Pas toen TechCrunch erachter kwam dat de game-ontwikkelaar eindelijk in actie kwam en de database haalde.
Het feit dat het lek is ontstaan vanwege een vrij eenvoudige configuratiefout is zorgelijk. Wat des te verontrustender is, is echter het feit dat Wizards of the Coast alleen handelde nadat de dreiging van media die het verhaal braken zich aandiende.
Organisaties moeten meer gaan nadenken over het beschermen van de privacy en beveiliging van mensen en minder over het behouden van hun reputatie. Hoe eerder iedereen dit beseft, hoe beter.
