“Magic:The Gathering”的创建者警告用户在大规模数据泄露后更改密码

Magic: The Gathering Data Leak

根据Wikipedia的资料,截至2015年,《魔术:聚会》(MTG)的演出人数约为2000万人。幸运的是,并非所有人都拥有专门用于热门游戏的网站的帐户。但是,其中有超过45万人这样做了,现在,他们的一些个人数据已在线泄漏。

另一个数据库处于休眠状态,处于AWS存储桶中

泄漏是由Fidus Information Security发现的,该公司最近在梵蒂冈的新型智能念珠中发现了一个安全漏洞。但这一次,Fidus的专家不需要对任何设备进行反向工程或筛选任何API响应。

他们所需要做的只是查看不受密码保护的Amazon Web Services(AWS)存储桶。在其中,他们发现了超过42.5万条用户记录,其中包含名称,用户名,电子邮件地址,哈希密码和盐腌密码以及帐户创建日期。

该数据库首先于9月初上传到不受保护的存储桶中,显然在接下来的两个月中仍保持在线状态。这听起来可能并不多,但是如果Fidus的研究人员足以找到它,那么网络犯罪分子也可以找到它。

MTG的发布者犯了一个非常常见的配置错误

经过简短调查,Fidus的研究人员意识到该数据库属于华盛顿的游戏发行商Wizards of the Coast,该发行商于1993年发布了Magic:The Gathering。通常,有人忘记正确配置有问题的AWS存储存储区,然后再上传备份数据库文件,顺便说一下,该文件还包含约500条属于Coasts Wizards员工的记录。

游戏发行商的发言人告诉TechCrunch,他们没有任何恶意使用数据的证据。为了以防万一,将通知受影响的用户,并要求他们更改密码。根据GDPR,欧盟的监管机构也已意识到此泄漏。

好消息

目前尚不清楚数据库的来源。我们唯一可以确定的是,它所属的网站归海岸奇才所有,并且数据相当陈旧。 TechCrunch的Zack Whittaker审查了泄漏的样本,并报告说许多帐户的历史可追溯到2012年,尽管其中一些也来自2018年。海岸奇才告诉惠特克,该网站现已“退役”。

正如我们已经提到的,密码是经过哈希处理和加盐处理的,这也是一件好事。所使用的哈希算法仍然未知,但是Zack Whittaker确实说对数据进行加密将是“困难的”。考虑到受影响帐户的数量相对较少以及帐户的使用年龄,黑客不太可能投入过多的精力来尝试消除哈希。

不太好消息

说了这么多,泄漏不应该被低估。该数据库包含大量未经任何方式加密或保护的个人信息. 而且,任何访问数据库中的名称,用户名和电子邮件的人都将知道,他们背后的人们都对MTG感兴趣,如果他们试图组织一个经过社会工程改造的鱼叉式网络钓鱼攻击,这将是一个巨大的优势。海岸奇才组织应尽快通知所有受影响的人,我们只能希望用户能够获得他们所需的所有信息,以使与泄漏相关的损害得到控制。问题是,应该早就通知受害者。

Fidus的研究人员在发现暴露后立即尝试以负责任的方式披露该暴露,但海岸奇才没有得到任何回应。直到TechCrunch伸出手,游戏开发人员才开始采取行动并提取了数据库。

由于相当简单的配置错误导致泄漏发生的事实令人担忧。然而,更令人不安的是,《海岸奇才》的行动只有在媒体报道打破事实的威胁出现之后才采取行动。

组织应该开始更多地考虑保护人们的隐私和安全,而不是保护自己的声誉。每个人越早意识到这一点,越好。

November 20, 2019

发表评论

重要!若要继续到下一步,请完成以下简单的数学问题。
Please leave these two fields as is:
8 + 9是什么?