Twórca gry „Magic: The Gathering” ostrzega użytkowników przed zmianą haseł po masowym naruszeniu danych
Według Wikipedii, od 2015 roku w Magic: The Gathering (MTG) grało około 20 milionów osób. Na szczęście nie wszyscy mieli konta z witryną poświęconą hitowi. Jednak nieco ponad 450 tysięcy z nich zrobiło, a teraz niektóre z ich danych osobowych wyciekły z Internetu.
Table of Contents
Inna baza danych pozostawała nieaktywna w segmencie magazynu AWS
Wyciek został wykryty przez Fidus Information Security - tę samą firmę, która niedawno odkryła lukę w zabezpieczeniach nowego inteligentnego różańca Watykanu. Tym razem jednak eksperci Fidus nie musieli dokonywać inżynierii wstecznej żadnych urządzeń ani przesiewać odpowiedzi API.
Wszystko, co musieli zrobić, to zajrzeć do segmentu pamięci Amazon Web Services (AWS), który nie był chroniony hasłem. Wewnątrz znaleźli nieco ponad 452 tysięcy rekordów użytkowników, które zawierały nazwy, nazwy użytkowników, adresy e-mail, hasła i hasła oraz daty utworzenia konta.
Baza danych została po raz pierwszy przesłana do niechronionego segmentu na początku września i najwyraźniej pozostała online przez następne dwa miesiące. Może to nie zabrzmieć dużo, ale gdyby wystarczyło, aby naukowcy Fidusa go znaleźli, cyberprzestępcy mogliby go również zlokalizować.
Wydawca MTG popełnia bardzo powszechny błąd w konfiguracji
Po krótkim dochodzeniu badacze Fidusa zorientowali się, że baza danych należy do Wizards of the Coast, wydawcy gier z siedzibą w Waszyngtonie, który wydał Magic: The Gathering w 1993 roku. Jak to często bywa, ktoś zapomniał odpowiednio skonfigurować niepoprawną pamięć masową AWS wiadro przed przesłaniem pliku kopii zapasowej bazy danych, który, nawiasem mówiąc, zawierał również około 500 rekordów należących do pracowników Wizards of the Coast.
Rzecznik wydawcy gier powiedział TechCrunchowi, że nie ma dowodów na złośliwe wykorzystanie danych. Użytkownicy, których dotyczy problem, zostaną powiadomieni i zostaną poproszeni o zmianę hasła, na wszelki wypadek. Zgodnie z RODO organy regulacyjne w UE zostały również poinformowane o wycieku.
Dobre wieści
Nie jest jasne, skąd pochodzi baza danych. Jedyne, co wiemy na pewno, to to, że strona, do której należała, była własnością Wizards of the Coast i że dane są dość stare. Zack Whittaker z TechCrunch przeanalizował próbkę wycieku i poinformował, że wiele kont pochodzi z 2012 roku, chociaż niektóre są również z 2018 roku. Czarodzieje z Wybrzeża powiedzieli Whittakerowi, że strona została „wycofana z eksploatacji”.
Jak już wspomnieliśmy, hasła zostały zaszyfrowane i solone, co jest również dobrą rzeczą. Zastosowany algorytm mieszania pozostaje nieznany, ale Zack Whittaker twierdzi, że rozszyfrowanie danych byłoby „trudne”. Biorąc pod uwagę stosunkowo niewielką liczbę kont, których dotyczy problem, i ich wiek, hakerzy raczej nie włożą zbyt wiele wysiłku w próbę odwrócenia skrótów.
Niezbyt dobre wieści
Mimo wszystko przeciek nie powinien być niedoceniany. Baza danych zawierała sporo danych osobowych, które nie zostały zaszyfrowane ani w żaden sposób zabezpieczone. Co więcej, każdy, kto uzyskuje dostęp do nazw, nazw użytkowników i wiadomości e-mail w bazie danych, będzie wiedział, że osoby stojące za nimi są zainteresowane MTG, co może być ogromną zaletą, jeśli próbują zorganizować dobrze zaprojektowany społecznie atak phishingowy. Czarodzieje z Wybrzeża powinni wkrótce zostać powiadomieni o wszystkich dotkniętych nim osobach i możemy mieć tylko nadzieję, że użytkownicy uzyskają wszystkie informacje, których potrzebują, aby kontrolować szkody związane z wyciekiem. Rzecz w tym, że ofiary powinny były zostać powiadomione dawno temu.
Badacze Fidusa próbowali odpowiedzialnie ujawnić ekspozycję natychmiast po jej znalezieniu, ale nie otrzymali żadnej odpowiedzi od Czarodziejów Wybrzeża. Dopiero TechCrunch doszedł do wniosku, że twórca gry w końcu zaczął działać i wyciągnął bazę danych.
Niepokojący jest fakt, że wyciek nastąpił z powodu dość prostej pomyłki w konfiguracji. Niepokojący jest jednak fakt, że Czarodzieje z Wybrzeża działali dopiero po tym, jak pojawiło się zagrożenie, że media zepsują historię.
Organizacje powinny zacząć myśleć bardziej o ochronie prywatności i bezpieczeństwa ludzi, a mniej o utrzymaniu ich reputacji. Im szybciej wszyscy to zauważą, tym lepiej.
