“Magic:The Gathering”的創建者警告用戶,一旦發生大規模數據洩露,便要更改密碼
根據Wikipedia的資料,截至2015年,《魔術:聚會》(MTG)的演出人數約為2000萬人。幸運的是,並非所有人都擁有專門用於熱門遊戲的網站的帳戶。但是,其中有超過45萬人這樣做了,現在,他們的一些個人數據已在線洩漏。
Table of Contents
另一個數據庫處於休眠狀態,處於AWS存儲桶中
洩漏是由Fidus Information Security發現的,該公司最近在梵蒂岡的新型智能念珠中發現了一個安全漏洞。但這一次,Fidus的專家不需要對任何設備進行反向工程或篩選任何API響應。
他們所需要做的只是查看不受密碼保護的Amazon Web Services(AWS)存儲桶。在其中,他們發現了超過42.5萬條用戶記錄,其中包含名稱,用戶名,電子郵件地址,哈希密碼和鹽醃密碼以及帳戶創建日期。
該數據庫首先於9月初上傳到不受保護的存儲桶中,顯然在接下來的兩個月中仍保持在線狀態。這聽起來可能並不多,但是如果Fidus的研究人員足以找到它,那麼網絡犯罪分子也可以找到它。
MTG的發布者犯了一個非常常見的配置錯誤
經過簡短調查,Fidus的研究人員意識到該數據庫屬於華盛頓的遊戲發行商Wizards of the Coast,該發行商於1993年發布了Magic:The Gathering。通常,有人忘記正確配置有問題的AWS存儲存儲區,然後再上傳備份數據庫文件,順便說一下,該文件還包含約500條屬於Coasts Wizards員工的記錄。
遊戲發行商的發言人告訴TechCrunch,他們沒有任何惡意使用數據的證據。為了以防萬一,將通知受影響的用戶,並要求他們更改密碼。根據GDPR,歐盟的監管機構也已意識到此洩漏。
好消息
目前尚不清楚數據庫的來源。我們唯一可以確定的是,它所屬的網站歸海岸奇才所有,並且數據相當陳舊。 TechCrunch的Zack Whittaker審查了洩漏的樣本,並報告說許多帳戶的歷史可追溯到2012年,儘管其中一些也來自2018年。海岸奇才告訴惠特克,該網站現已“退役”。
正如我們已經提到的,密碼是經過哈希處理和加鹽處理的,這也是一件好事。所使用的哈希算法仍然未知,但是Zack Whittaker確實說對數據進行加密將是“困難的”。考慮到受影響帳戶的數量相對較少以及帳戶的使用年齡,黑客不太可能投入過多的精力來嘗試消除哈希。
不太好消息
說了這麼多,洩漏不應該被低估。該數據庫包含大量未經任何方式加密或保護的個人信息. 而且,任何訪問數據庫中的名稱,用戶名和電子郵件的人都將知道,他們背後的人們都對MTG感興趣,如果他們試圖組織一個經過社會工程改造的魚叉式網絡釣魚攻擊,這將是一個巨大的優勢。海岸奇才組織應盡快通知所有受影響的人,我們只能希望用戶能夠獲得他們所需的所有信息,以使與洩漏相關的損害得到控制。問題是,應該早就通知受害者。
Fidus的研究人員在發現暴露後立即嘗試以負責任的方式披露該暴露,但海岸奇才沒有得到任何回應。直到TechCrunch伸出手,遊戲開發人員才開始採取行動並提取了數據庫。
由於相當簡單的配置錯誤導致洩漏發生的事實令人擔憂。然而,更令人不安的是,“海岸奇才”組織的行動只有在媒體報導破壞這一故事本身的威脅之後才採取行動。
組織應該開始更多地考慮保護人們的隱私和安全,而不是保護自己的聲譽。每個人越早意識到這一點,越好。