Skaparen av 'Magic: The Gathering' varnar användare att byta lösenord efter ett massivt dataintrång
Enligt Wikipedia spelades från och med 2015 Magic: The Gathering (MTG) av cirka 20 miljoner människor. Lyckligtvis hade inte alla konton med en webbplats tillägnad hitspelet. Drygt 450 tusen av dem gjorde det dock, och nu har några av deras personuppgifter läckt ut online.
Table of Contents
En annan databas lämnade vilande i en AWS-lagringshink
Läckan hittades av Fidus Information Security - samma företag som nyligen upptäckte en säkerhetsbrist i Vatikanets nya smarta radband. Den här gången behövde Fidus experter emellertid inte backa ingenjörer eller sila igenom några API-svar.
Allt de behövde göra var att titta i en Amazon Web Services (AWS) lagringshink som inte var skyddad av ett lösenord. Inuti den hittade de drygt 452 tusen användarposter som innehöll namn, användarnamn, e-postadresser, hashade och saltade lösenord och datum för kontoskapande.
Databasen laddades först upp till den oskyddade hinken i början av september, och den förbli uppenbarligen online de kommande två månaderna. Detta låter kanske inte så mycket, men om det räckte för Fidus forskare att hitta det, kan det ha varit tillräckligt för cyberkriminella att hitta det också.
MTGs utgivare gör ett alltför vanligt felkonfigurationsfel
Efter en kort undersökning insåg Fidus forskare att databasen tillhör Wizards of the Coast, den Washington-baserade spelutgivaren som släppte Magic: The Gathering tillbaka 1993. Som ofta är fallet glömde någon att korrekt konfigurera den kränkande AWS-lagring hink innan du laddade upp databasfilen för säkerhetskopiering, som förresten också innehöll cirka 500 poster tillhörande Wizards of the Coast-anställda.
En talesman för spelutgivaren berättade för TechCrunch att de inte har några bevis för någon skadlig användning av uppgifterna. De berörda användarna kommer att meddelas och kommer att uppmanas att ändra sina lösenord, bara för fall. I enlighet med GDPR har tillsynsorganen i EU också blivit medvetna om läckan.
De goda nyheterna
Det är oklart var databasen kommer från. Det enda vi vet säkert är att webbplatsen den tillhörde ägs av Wizards of the Coast och att uppgifterna är ganska gamla. TechCrunchs Zack Whittaker granskade ett urval av läckan och rapporterade att många av kontona går så långt tillbaka som 2012, även om det finns några från 2018 också. Wizards of the Coast berättade för Whittaker att webbplatsen nu har "avvecklats".
Som vi nämnde redan var lösenorden hashade och saltade, vilket också är bra. Den hashningsalgoritmen som användes förblir okänd, men Zack Whittaker säger dock att det skulle vara "svårt" att skrapa uppgifterna. Med tanke på det relativt lilla antalet berörda konton och deras ålder är det osannolikt att hackarna kommer att göra för mycket ansträngning för att försöka vända hasherna.
De inte så goda nyheterna
Efter att ha sagt allt detta, bör läckan inte underskattas. Databasen innehöll en hel del personlig information som inte var krypterad eller skyddad på något sätt. Dessutom vet alla som har tillgång till namn, användarnamn och e-post i databasen att folket bakom dem är intresserade av MTG, vilket kan vara en enorm fördel om de försöker organisera en väl socialt konstruerad spjutfiskattack. Wizards of the Coast bör snart göras med anmälan till alla drabbade individer, och vi kan bara hoppas att användare kommer att få all information de behöver för att hålla skadan i samband med läckan under kontroll. Saken är att offren borde ha meddelats för länge sedan.
Fidus forskare försökte på ett ansvarsfullt sätt avslöja exponeringen omedelbart efter att de hittade den, men de fick inget svar från Wizards of the Coast. Det var inte förrän TechCrunch nådde fram att spelutvecklaren äntligen sprang till handling och drog databasen.
Det faktum att läckan inträffade på grund av ett ganska enkelt konfigurationsfel är oroande. Det som är mer förvirrande är emellertid det faktum att Wizards of the Coast agerade först efter att hotet om medier som bryter historien presenterade sig.
Organisationer bör börja tänka mer på att skydda människors integritet och säkerhet och mindre om att bevara deras rykte. Ju tidigare alla inser detta, desto bättre.
