“Magic：The Gathering”的创建者警告用户在大规模数据泄露后更改密码

根据Wikipedia的资料，截至2015年，《魔术：聚会》（MTG）的演出人数约为2000万人。幸运的是，并非所有人都拥有专门用于热门游戏的网站的帐户。但是，其中有超过45万人这样做了，现在，他们的一些个人数据已在线泄漏。

另一个数据库处于休眠状态，处于AWS存储桶中

泄漏是由Fidus Information Security发现的，该公司最近在梵蒂冈的新型智能念珠中发现了一个安全漏洞。但这一次，Fidus的专家不需要对任何设备进行反向工程或筛选任何API响应。

他们所需要做的只是查看不受密码保护的Amazon Web Services（AWS）存储桶。在其中，他们发现了超过42.5万条用户记录，其中包含名称，用户名，电子邮件地址，哈希密码和盐腌密码以及帐户创建日期。

该数据库首先于9月初上传到不受保护的存储桶中，显然在接下来的两个月中仍保持在线状态。这听起来可能并不多，但是如果Fidus的研究人员足以找到它，那么网络犯罪分子也可以找到它。

MTG的发布者犯了一个非常常见的配置错误

经过简短调查，Fidus的研究人员意识到该数据库属于华盛顿的游戏发行商Wizards of the Coast，该发行商于1993年发布了Magic：The Gathering。通常，有人忘记正确配置有问题的AWS存储存储区，然后再上传备份数据库文件，顺便说一下，该文件还包含约500条属于Coasts Wizards员工的记录。

游戏发行商的发言人告诉TechCrunch，他们没有任何恶意使用数据的证据。为了以防万一，将通知受影响的用户，并要求他们更改密码。根据GDPR，欧盟的监管机构也已意识到此泄漏。

好消息

目前尚不清楚数据库的来源。我们唯一可以确定的是，它所属的网站归海岸奇才所有，并且数据相当陈旧。 TechCrunch的Zack Whittaker审查了泄漏的样本，并报告说许多帐户的历史可追溯到2012年，尽管其中一些也来自2018年。海岸奇才告诉惠特克，该网站现已“退役”。

正如我们已经提到的，密码是经过哈希处理和加盐处理的，这也是一件好事。所使用的哈希算法仍然未知，但是Zack Whittaker确实说对数据进行加密将是“困难的”。考虑到受影响帐户的数量相对较少以及帐户的使用年龄，黑客不太可能投入过多的精力来尝试消除哈希。

不太好消息

说了这么多，泄漏不应该被低估。该数据库包含大量未经任何方式加密或保护的个人信息. 而且，任何访问数据库中的名称，用户名和电子邮件的人都将知道，他们背后的人们都对MTG感兴趣，如果他们试图组织一个经过社会工程改造的鱼叉式网络钓鱼攻击，这将是一个巨大的优势。海岸奇才组织应尽快通知所有受影响的人，我们只能希望用户能够获得他们所需的所有信息，以使与泄漏相关的损害得到控制。问题是，应该早就通知受害者。

Fidus的研究人员在发现暴露后立即尝试以负责任的方式披露该暴露，但海岸奇才没有得到任何回应。直到TechCrunch伸出手，游戏开发人员才开始采取行动并提取了数据库。

由于相当简单的配置错误导致泄漏发生的事实令人担忧。然而，更令人不安的是，《海岸奇才》的行动只有在媒体报道打破事实的威胁出现之后才采取行动。

组织应该开始更多地考虑保护人们的隐私和安全，而不是保护自己的声誉。每个人越早意识到这一点，越好。