Le rassembleur a publié 452 000 données de compte de joueur – TechCrunch

Le fabricant de Magie: le rassemblement a confirmé qu'une défaillance de la sécurité a révélé les données sur des centaines de milliers de joueurs.

Le développeur du jeu, Wizards of the Coast, basé à Washington, a laissé un fichier de sauvegarde de base de données dans un compartiment de stockage public Amazon Web Services. Le fichier de base de données contenait les informations du compte utilisateur pour l’arène en ligne du jeu. Mais il n'y avait pas de mot de passe sur le compartiment de stockage, permettant à quiconque d'accéder aux fichiers qu'il contient.

On pense que le seau n’a pas été exposé depuis longtemps – vers le début du mois de septembre – mais il a fallu assez de temps pour que la société de cybersécurité britannique Fidus Information Security trouve la base de données.

Un examen du fichier de la base de données a montré qu’il y avait 452 634 informations sur les joueurs, dont environ 470 adresses électroniques associées au personnel de Wizards. La base de données comprenait les noms et noms d’utilisateur des joueurs, les adresses électroniques, ainsi que la date et l’heure de la création du compte. La base de données avait également des mots de passe utilisateur, qui étaient hachés et salés, ce qui rendait le décryptage difficile mais pas impossible.

Aucune des données n'a été cryptée. Les comptes remontent à au moins 2012, selon notre examen des données.

Version formatée du fichier de sauvegarde de la base de données, rédigée, contenant 452 000 enregistrements utilisateur. (Image: TechCrunch)

Fidus tendit la main vers Wizards of the Coast mais n'entend pas de retour. Ce n’est que lorsque TechCrunch a atteint que le fabricant du jeu a mis hors service le seau de stockage.

Bruce Dugan, un porte-parole du développeur de jeux, a déclaré à TechCrunch dans un communiqué: "Nous avons appris qu'un fichier de base de données provenant d'un site Web désaffecté avait été rendu accessible par inadvertance à l'extérieur de la société."

«Nous avons supprimé le fichier de base de données de notre serveur et ouvert une enquête pour déterminer l'étendue de l'incident», a-t-il déclaré. "Nous pensons qu'il s'agit d'un incident isolé et nous n'avons aucune raison de penser que les données ont été utilisées de manière malveillante", mais le porte-parole n'a fourni aucune preuve de cette affirmation.

"Cependant, par prudence, nous informons les joueurs dont les informations étaient contenues dans la base de données et les obligons à réinitialiser leurs mots de passe sur notre système actuel", a-t-il déclaré.

Harriet Lester, directrice de la recherche et du développement chez Fidus, a déclaré qu'il était «surprenant à ce jour que des erreurs de configuration et un manque d'hygiène de base en matière de sécurité subsistent à cette échelle, en particulier lorsqu'il est fait référence à de telles grandes entreprises avec une base d'utilisateurs de plus de 450 000 comptes. ”

«Notre équipe de recherche travaille en permanence, cherchant des erreurs de configuration telles que celle-ci pour alerter les entreprises dès que possible et éviter que les données ne tombent entre de mauvaises mains. C’est notre petit moyen d’aider à rendre Internet plus sûr », a-t-elle confié à TechCrunch.

Le fabricant de jeux vidéo a déclaré avoir informé les autorités britanniques de protection des données de cette exposition, conformément aux règles de notification d'infraction prévues par la réglementation européenne GDPR. Le bureau du Commissaire à l’information du Royaume-Uni n’a pas immédiatement renvoyé un courrier électronique confirmant la divulgation.

Les entreprises peuvent être condamnées à une amende pouvant aller jusqu'à 4% de leur chiffre d'affaires annuel pour violation du règlement général.

Traduit de la source : https://techcrunch.com/2019/11/16/magic-the-gathering-wizards-data-exposure/

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée.