SEGA ha rischiato grosso: server europeo completamente esposto

30 Dicembre 2021 5

SEGA ha rischiato grosso: la società di videogiochi giapponese aveva mal configurato uno dei suoi server AWS in Europa, lasciando i dati sensibili di migliaia di utenti e molto altro sostanzialmente accessibili a chiunque se ne fosse accorto. Fortunatamente pare che non se ne sia accorto nessuno - o meglio, l'ha fatto VPN Overview, che ha prontamente segnalato a SEGA l'accaduto e collaborato con la società a mettere in sicurezza i dati quanto più velocemente ed efficientemente possibile. Tra i dati esposti figuravano:

  • Chiave sviluppatore Steam (fattore di rischio: moderato)
  • Chiavi crittografiche RSA (fattore di rischio: alto)
  • Informazioni personali degli utenti e password criptate (fattore di rischio: alto)
  • Chiave per accedere alle API di MailChimp (fattore di rischio: critico)
  • Credenziali di login ad AWS (fattore di rischio: critico)

Facile immaginare perché soprattutto l'ultima voce dell'elenco potesse avere conseguenze tremende per SEGA: con le credenziali AWS un eventuale malintenzionato avrebbe potuto apportare modifiche (caricare script malevoli, eseguire codice non autorizzato, avviare campagne ransomware e quant'altro) e leggere ogni singolo file di svariati domini dell'infrastruttura cloud della società. Con i dati dell'account MailChimp, che è un servizio di gestione delle mailing list, sarebbe stato facile avviare campagne di phishing. Esposti c'erano i dati di giochi pubblicati da SEGA come:

  • Vanquish
  • Bayonetta
  • Football Manager
  • Sonic The Hedgehog
  • Company of Heroes

VPN Overview osserva che SEGA avrebbe potuto essere più solerte nel rispondere alle sue segnalazioni. La segnalazione è partita il 18 ottobre, lo stesso giorno in cui è stata trovata la prima breccia, e solo dieci giorni dopo, il 28 ottobre e a fronte di una seconda segnalazione, la società ha risposto e contestualmente risolto. Per qualche motivo la prima email di segnalazione si è persa.

Non ci sono indicazioni che qualcuno abbia effettivamente approfittato della falla - che peraltro era aperta da chissà quanto tempo.


5

Commenti

Regolamento Commentando dichiaro di aver letto il regolamento e di essere a conoscenza delle informazioni e norme che regolano le discussioni sul sito. Clicca per info.
Caricamento in corso. Per commentare attendere...
HeiSiri

Immagino gli hacker mangiarsi le mani per non aver sfruttato un'occasione così ghiotta. Chissà, qualcuno potrebbe essersi accorto prima

Coolguy

Aspetto i leak....
Perche' ci saranno...altro che'

miroslav_kowalski

Ed invece non gli hanno fatto una bega

Marco

a quanto pare il responsabile, alla domanda su come si sentisse per aver compiuto il grave errore, avrebbe risposto "fo77e SEGA"

un eternauta

Battute facili in 3... 2... 1...

LEGO Star Wars: The Skywalker Saga provato: enorme e divertente

Recensione Horizon Forbidden West: un open world ricchissimo

GTA 6, ci siamo: Rockstar lo ha confermato ufficialmente!

Anteprima Ghostwire Tokyo: parola d'ordine originalità