Nhà sản xuất Magic: The Gathering đã xác nhận rằng một lỗi bảo mật đã phơi bày dữ liệu của hàng trăm ngàn người chơi trò chơi.

Nhà phát triển trò chơi, trò chơi Wizards of the Coast có trụ sở tại Washington, đã để lại một tệp sao lưu cơ sở dữ liệu trong một thùng lưu trữ dịch vụ web công cộng của Amazon. Tệp cơ sở dữ liệu chứa thông tin tài khoản người dùng cho đấu trường trực tuyến Game. Nhưng không có mật khẩu trên thùng lưu trữ, cho phép mọi người truy cập vào các tệp bên trong.

Cái xô không được cho là đã bị phơi bày từ lâu – kể từ khoảng đầu tháng 9 – nhưng nó đã đủ dài để công ty an ninh mạng Fidus của Fidus tìm thấy cơ sở dữ liệu.

Một đánh giá về tệp cơ sở dữ liệu cho thấy có 452.634 người chơi thông tin trên mạng, bao gồm khoảng 470 địa chỉ email được liên kết với nhân viên của Wizards. Cơ sở dữ liệu bao gồm tên người chơi và tên người dùng, địa chỉ email và ngày và thời gian tạo tài khoản. Cơ sở dữ liệu cũng có mật khẩu người dùng, được băm và muối, gây khó khăn nhưng không thể giải mã được.

Không có dữ liệu nào được mã hóa. Các tài khoản bắt đầu từ ít nhất là năm 2012, theo đánh giá của chúng tôi về dữ liệu.

Một phiên bản được định dạng của tệp sao lưu cơ sở dữ liệu, được điều chỉnh lại, chứa 452.000 hồ sơ người dùng. (Ảnh: TechCrunch)

Fidus đã tìm đến Wizards of the Coast nhưng không nghe thấy gì. Chỉ sau khi TechCrunch đưa ra, nhà sản xuất trò chơi đã rút thùng lưu trữ ngoại tuyến.

Bruce Dugan, người phát ngôn của nhà phát triển trò chơi, nói với TechCrunch trong một tuyên bố: Triệu Chúng tôi biết rằng một tệp cơ sở dữ liệu từ một trang web đã ngừng hoạt động đã vô tình có thể truy cập được bên ngoài công ty.

Triệu Chúng tôi đã xóa tệp cơ sở dữ liệu khỏi máy chủ của chúng tôi và bắt đầu một cuộc điều tra để xác định phạm vi của vụ việc, ông nói. Chúng tôi tin rằng đây là một sự cố riêng biệt và chúng tôi không có lý do gì để tin rằng bất kỳ việc sử dụng độc hại nào đã được tạo ra từ dữ liệu, nhưng người phát ngôn đã không cung cấp bất kỳ bằng chứng nào cho tuyên bố này.

Tuy nhiên, trong sự thận trọng, chúng tôi đang thông báo cho những người chơi có thông tin được chứa trong cơ sở dữ liệu và yêu cầu họ đặt lại mật khẩu của họ trên hệ thống hiện tại của chúng tôi, anh nói.

Harriet Lester, giám đốc nghiên cứu và phát triển của Fidus, cho biết thật đáng ngạc nhiên trong thời đại ngày nay rằng việc cấu hình sai và thiếu vệ sinh an ninh cơ bản vẫn tồn tại ở quy mô này, đặc biệt là khi đề cập đến các công ty lớn như vậy với số lượng người dùng lớn hơn 450.000 tài khoản. Chỉ

Nhóm nghiên cứu của chúng tôi làm việc liên tục, tìm kiếm các cấu hình sai như thế này để cảnh báo các công ty càng sớm càng tốt để tránh dữ liệu rơi vào tay kẻ xấu. Đó là cách nhỏ bé của chúng tôi để giúp internet trở thành một nơi an toàn hơn, cô ấy nói với TechCrunch.

Nhà sản xuất trò chơi cho biết họ đã thông báo cho các cơ quan bảo vệ dữ liệu của Hoa Kỳ về việc tiếp xúc, phù hợp với các quy tắc thông báo vi phạm theo quy định GDPR của Châu Âu. Văn phòng ủy viên thông tin của U.K. từ chối đã không trả lại email ngay lập tức để xác nhận việc tiết lộ.

Các công ty có thể bị phạt tới 4% doanh thu hàng năm vì vi phạm GDPR.

Share.

Comments are closed.