概述
日前《Magic:The Gathering》的制造商已经确认,由于操作不当和安全漏洞导致数十万游戏玩家的数据暴露。
Magic:The Gathering游戏由知名卡牌游戏商华盛顿的威世智(又名,海岸奇才Wizards of Coast)开发,是世界上最早的TCG游戏,游戏机制历久弥新地好玩,总算有机会入坑万智牌。秘稀卡牌入场效果和画面素质都很棒,游戏的大画卡也非常好看。系列游戏中最新版的《万智牌:竞技场》已经由腾讯游戏获得代理。
问题
威世智由于不当操作将其数据库备份文件误存在了公共的Amazon Web Services云服务的S3存储中。但是该存储存未设置密码,使得任何人都可以访问其中的文件。据悉该数据库文件自9月初以来,已经对外暴露已经长达2个多月,后被英国网络安全公司Fidus Information Security发现。
根据对数据库文件的检查,有452634个玩家信息,也包括与W该公司员工相关的大约470个电子邮件地址。该数据库中的信息包括了玩家名称和用户名,电子邮件地址,以及帐户创建的日期和时间。数据库还保存有用户密码字段,幸运的是这些密码经过加盐的哈希加密处理,没有直接泄露,但是不排除别有用心人可以通过构造彩虹表等方式予以解密。根据对数据排查,这些帐户的创建日期至少可以追溯到2012年,但是一些最近的条目更新时间可追溯到2018年中期。
Fidus公司曾想向威世智发出警告,但是一直未被回应,直到最近他们才下线了AWS上存储的数据文件。
威世智发言人布鲁斯·杜根(Bruce Dugan)在一份声明中表示:"我们了解到,退役网站上的数据库文件被无意间从公司外部访问了。"
他说:"我们从服务器上删除了数据库文件,并开始了调查以确定事件的范围。" "我们认为这是一起孤立事件,我们没有理由相信有人对数据进行了任何恶意使用,"但是发言人没有提供任何证据证明这一说法。
他同时表示:"但是,出于谨慎考虑,我们会通知玩家其信息已包含在数据库中,并要求他们在我们当前的系统上重置密码。"
Fidus研发总监Harriet Lester表示,在当今时代,错误的配置和缺乏基本的安全策略仍然令人感到惊讶,尤其是当涉及到拥有超过45万帐户用户的大型公司时。
Fidus的研究团队将不断工作,寻找诸如此类的错误配置,以尽快提醒公司,避免数据落入不正确的人手中,以帮助互联网企业更安全。
威世智表示,已根据欧洲GDPR法规的违规通知规则将有关暴露情况通知了英国数据保护部门。英国信息专员办公室没有立即返回电子邮件以确认披露。根据欧盟GDPR相关的规定,对于违反GDPR的公司,最高可处以其年营业额4%的罚款。
閱讀更多 蟲蟲安全 的文章
