A Sega deixou um de seus servidores europeus aberto

Um invasor mal-intencionado pode ter acessado os dados pessoais de 250.000 usuários.

O que poderia ter sido uma violação prejudicial em um dos servidores da Sega parece ter sido fechado, de acordo com um relatório da empresa de segurança VPN Overview. O bucket do Amazon Web Services S3 configurado incorretamente continha informações confidenciais que permitiam aos pesquisadores carregar arquivos arbitrariamente para uma grande faixa de domínios de propriedade da Sega, bem como credenciais para abusar de uma lista de e-mail de 250.000 usuários.

Os domínios afetados incluem as páginas de destino oficiais das principais franquias, incluindo Sonic the Hedgehog, Bayonetta e Total War, bem como o próprio site Sega.com. VPNO foi capaz de executar scripts executáveis ​​nesses sites que, como você pode imaginar, teria sido muito ruim se essa violação tivesse sido descoberta por agentes mal-intencionados em vez de pesquisadores.

Uma chave de API do Mailchimp armazenada incorretamente deu ao VPNO acesso à lista de e-mail mencionada acima. Os próprios e-mails estavam disponíveis em texto simples junto com os endereços IP associados e as senhas que os pesquisadores conseguiram desempacotar. De acordo com o relatório, “um usuário mal-intencionado poderia ter distribuído ransomware de forma muito eficaz usando e-mail comprometido e serviços em nuvem da SEGA.”

Até o momento, não há indicação de que atores mal-intencionados usaram essa vulnerabilidade antes que o VPNO descobrisse e ajudasse a Sega a consertá-la. A Sega Europe não estava disponível para comentar.

Baldes S3 mal configurados são, infelizmente, um problema extremamente comum na segurança da informação. Erros semelhantes neste ano afetaram a empresa de áudio Sennheiser, consultora sênior, PeopleGIS e o governo de Gana. A Sega foi alvo de um grande ataque em 2011 que levou à exfiltração de informações de identificação pessoal pertencentes a 1,3 milhão de usuários. Felizmente, este servidor europeu mal configurado não resultou em um incidente semelhante.

#serviçoswebamazon #notícias # #jogos #segurança #cíbersegurança #violações #aws #sega

John Doe

Curioso e apaixonado por tecnologia.

Deixe um comentário

O seu endereço de e-mail não será publicado.