Создатель «Magic: The Gathering» предупреждает пользователей о смене паролей после массового взлома данных
По данным Википедии, по состоянию на 2015 год в Magic: The Gathering (MTG) играли около 20 миллионов человек. К счастью, не все из них имели учетные записи на веб-сайте, посвященном популярной игре. Тем не менее, чуть более 450 тысяч из них сделали это, и теперь некоторые из их личных данных просочились в Интернет.
Table of Contents
Еще одна база данных осталась без работы в хранилище AWS
Утечка была обнаружена Fidus Information Security - той же самой компанией, которая недавно обнаружила уязвимость в новом умном розарии Ватикана. На этот раз, однако, экспертам Fidus не нужно было перепроектировать какие-либо устройства или просматривать ответы API.
Все, что им нужно было сделать, это посмотреть в хранилище Amazon Web Services (AWS), которое не было защищено паролем. Внутри они обнаружили чуть более 452 тысяч записей пользователей, которые содержали имена, имена пользователей, адреса электронной почты, хэшированные и засоленные пароли и даты создания учетной записи.
База данных была впервые загружена в незащищенное хранилище в начале сентября и, по-видимому, оставалась онлайн в течение следующих двух месяцев. Это может показаться не таким уж большим, но если бы исследователям Фидуса было достаточно его найти, киберпреступникам могло бы быть достаточно его обнаружить.
Издатель MTG делает слишком распространенную ошибку неверной конфигурации
После непродолжительного расследования исследователи Fidus поняли, что база данных принадлежит Wizards of the Coast, издателю игр в Вашингтоне, который выпустил Magic: The Gathering в 1993 году. Как это часто бывает, кто-то забыл правильно настроить хранилище AWS, нарушающее работу. Перед загрузкой файла резервной копии, который, кстати, также содержал около 500 записей, принадлежащих сотрудникам Wizards of the Coast.
Представитель издателя игры заявил TechCrunch, что у них нет доказательств какого-либо злонамеренного использования данных. Пострадавшие пользователи будут уведомлены и попросят изменить свои пароли, на всякий случай. В соответствии с GDPR регулирующие органы в ЕС также были осведомлены об утечке.
Хорошие новости
Неясно, откуда база данных. Единственное, что мы точно знаем, это то, что веб-сайт, которому он принадлежал, принадлежал Wizards of the Coast, и что данные довольно старые. Zack Whittaker из TechCrunch проверил образец утечки и сообщил, что многие из учетных записей датируются еще 2012 годом, хотя некоторые из них также относятся к 2018 году. Wizards of the Coast сказали Уиттакеру, что веб-сайт в настоящее время «списан».
Как мы уже упоминали, пароли были хешированы и засолены, что тоже хорошо. Использованный алгоритм хеширования остается неизвестным, но Зак Уиттакер говорит, что расшифровка данных будет «трудной». Учитывая относительно небольшое количество уязвимых учетных записей и их возраст, хакеры вряд ли приложат слишком много усилий, чтобы попытаться обратить вспять хэши.
Не очень хорошие новости
Сказав все это, утечка не должна быть недооценена. База данных содержала достаточное количество личной информации, которая не была зашифрована или защищена.. Более того, любой, кто получает доступ к именам, именам пользователей и электронным письмам в базе данных, будет знать, что стоящие за ними люди заинтересованы в MTG, что может быть огромным преимуществом, если они пытаются организовать хорошо спроектированную фишинговую атаку с применением социальных технологий. В ближайшее время Wizards of the Coast следует уведомить всех пострадавших, и мы можем только надеяться, что пользователи получат всю необходимую им информацию, чтобы держать под контролем ущерб, связанный с утечкой. Дело в том, что жертвы должны были быть уведомлены давно.
Исследователи Fidus попытались ответственно раскрыть информацию об экспозиции сразу же после того, как обнаружили ее, но не получили ответа от Wizards of the Coast. Так продолжалось до тех пор, пока TechCrunch не дотянулся до того, что разработчик игры наконец-то вступил в действие и вытащил базу данных.
Вызывает беспокойство тот факт, что утечка произошла из-за довольно простой ошибки конфигурации. Что еще более смущает, так это тот факт, что «Волшебники Побережья» действовали только после того, как средства массовой информации нарушили эту историю.
Организации должны больше думать о защите конфиденциальности и безопасности людей, а не о сохранении их репутации. Чем раньше все это поймут, тем лучше.
