O criador de 'Magic: The Gathering' adverte usuários para alterar senhas após uma violação maciça de dados
Segundo a Wikipedia, a partir de 2015, Magic: The Gathering (MTG) foi jogado por cerca de 20 milhões de pessoas. Felizmente, nem todos eles tinham contas em um site dedicado ao jogo de sucesso. Pouco mais de 450 mil deles, no entanto, fizeram e agora alguns de seus dados pessoais vazaram online.
Índice
Outro banco de dados deixado inativo em um depósito de armazenamento da AWS
O vazamento foi encontrado pela Fidus Information Security - a mesma empresa que descobriu recentemente uma falha de segurança no novo rosário inteligente do Vaticano. Desta vez, no entanto, os especialistas da Fidus não precisaram fazer engenharia reversa de nenhum dispositivo ou filtrar nenhuma resposta da API.
Tudo o que eles precisavam fazer era procurar em um bucket de armazenamento da Amazon Web Services (AWS) que não estivesse protegido por uma senha. Dentro dele, eles encontraram um pouco mais de 452 mil registros de usuários que continham nomes, nomes de usuários, endereços de email, senhas com hash e salgadas e datas de criação de contas.
O banco de dados foi carregado pela primeira vez no balde desprotegido no início de setembro e, aparentemente, permaneceu on-line pelos próximos dois meses. Isso pode não parecer muito, mas se fosse o suficiente para os pesquisadores de Fidus encontrá-lo, poderia ter sido suficiente para os criminosos cibernéticos localizá-lo também.
O editor do MTG comete um erro de configuração muito comum
Após uma breve investigação, os pesquisadores de Fidus perceberam que o banco de dados pertencia à Wizards of the Coast, a editora de jogos com sede em Washington que lançou Magic: The Gathering em 1993. Como geralmente é o caso, alguém esqueceu de configurar corretamente o armazenamento ofensivo da AWS antes de fazer o upload do arquivo do banco de dados de backup, que, aliás, também continha cerca de 500 registros pertencentes aos funcionários da Wizards of the Coast.
Um porta-voz da produtora de jogos disse ao TechCrunch que eles não têm evidências de nenhum uso malicioso dos dados. Os usuários afetados serão notificados e solicitados a alterar suas senhas, apenas por precaução. De acordo com o RGPD, os órgãos reguladores da UE também foram informados do vazamento.
As boas notícias
Não está claro de onde veio o banco de dados. A única coisa que sabemos com certeza é que o site ao qual pertencia pertencia à Wizards of the Coast e que os dados são bastante antigos. Zack Whittaker, do TechCrunch, revisou uma amostra do vazamento e relatou que muitas das contas datam de 2012, embora existam algumas a partir de 2018 também. A Wizards of the Coast disse a Whittaker que o site agora foi "desativado".
Como já mencionamos, as senhas foram hash e salgadas, o que também é uma coisa boa. O algoritmo de hash usado continua desconhecido, mas Zack Whittaker diz que desembaralhar os dados seria "difícil". Considerando o número relativamente pequeno de contas afetadas e sua idade, é improvável que os hackers se esforcem demais para tentar reverter os hashes.
As notícias não tão boas
Dito tudo isso, o vazamento não deve ser subestimado. O banco de dados continha uma quantidade razoável de informações pessoais que não eram criptografadas ou protegidas de forma alguma. Além disso, qualquer pessoa que acesse os nomes, nomes de usuários e e-mails no banco de dados saberá que as pessoas por trás deles estão interessadas no MTG, o que pode ser uma grande vantagem se eles estiverem tentando organizar um ataque de spear phishing com engenharia social. A Wizards of the Coast deve em breve notificar todos os indivíduos afetados, e só podemos esperar que os usuários obtenham todas as informações necessárias para manter os danos associados ao vazamento sob controle. A questão é que as vítimas deveriam ter sido notificadas há muito tempo.
Os pesquisadores da Fidus tentaram divulgar com responsabilidade a exposição imediatamente após encontrá-la, mas não obtiveram resposta da Wizards of the Coast. Não foi até TechCrunch chegar que o desenvolvedor do jogo finalmente entrou em ação e puxou o banco de dados.
O fato de o vazamento ter ocorrido devido a um erro de configuração bastante simples é preocupante. O que é mais desconcertante, no entanto, é o fato de a Wizards of the Coast ter agido somente depois que a ameaça de meios de comunicação que contaram a história se apresentou.
As organizações devem começar a pensar mais em proteger a privacidade e a segurança das pessoas e menos em preservar sua reputação. Quanto mais cedo todos perceberem isso, melhor.
