Společnost Sega naservírovala hackerům databázi uživatelských informací

Zpět na blog

Společnost Sega Europe se mohla snadno stát obětí úniku dat, protože bezpečnostní výzkumníci zjistili, že společnost nechala citlivé soubory nezabezpečené ve veřejně přístupné databázi.

Výzkumníci z bezpečnostní firmy VPN Overview zjistili, že dotyčné soubory byly uloženy v chybně nakonfigurovaném bucketu S3 služby Amazon Web Services (AWS). Podařilo se jim také získat několik sad klíčů AWS, které jim umožnily přístup ke čtení a zápisu do cloudového úložiště společnosti Sega Europe.

Kromě citlivých souborů byly v chybně nakonfigurovaném bucketu S3 umístěny také webové stránky řady populárních titulů společnosti Sega, včetně her Sonic the Hedgehog, Bayonetta, Football ManagerTotal War, a také oficiální stránky společnosti Sega. Celkem bylo zasaženo 26 veřejně přístupných domén kontrolovaných společností Sega Europe.

Výzkumníci společnosti VPN Overview byli podle nové zprávy schopni nahrávat soubory, spouštět skripty, měnit existující webové stránky a upravovat konfiguraci kriticky zranitelných domén společnosti Sega. Bezpečnostní tým společnosti VPN Overview během svého vyšetřování obnovil rozhraní API e-mailového marketingového softwaru MailChimp, které umožňovalo odesílat e-maily z adresy donotreply@footballmanager.com.

Tým poté odeslal několik zpráv, aby otestoval svůj přístup, a každý odeslaný e-mail se jevil jako legitimní a také používal šifrování TLS. Odtud byli výzkumníci schopni měnit existující šablony MailChimpu a dokonce vytvářet vlastní. Vzhledem k tomu, že všechny e-maily rozeslané uživatelům aplikace Football Manager vypadaly legitimně a dokázaly by obejít bezpečnostní kontroly e-mailů, mohl škodlivý útočník tento přístup využít ke spuštění phishingových kampaní.

VPN Overview byl také schopen nahrávat a nahrazovat soubory ve třech sítích pro doručování obsahu (CDN) společnosti Sega. Vzhledem k tomu, že webové stránky třetích stran často odkazují na CDN společnosti pro oficiální verzi obrázku nebo souboru, bylo na postižené CDN společnosti Sega Europe napojeno dalších 531 domén. V důsledku toho mohl útočník zneužít sítě CDN společnosti k distribuci malwaru a ransomwaru nic netušícím uživatelům.

Po odhalení chybně nakonfigurovaného bucketu S3 společnosti Sega Europe společnost VPN Overview zodpovědně sdělila svá zjištění společnosti, která následně zabezpečila databázi a všechny své dotčené cloudové služby a software.

Pokud by chybu odhalili hackeři, dostala by se Sega do obrovských potíží – ostatně špatně nakonfigurovaný S3 bucket a další služby se už několikrát staly iniciačním bodem závažných kybernetických incidentů. Naštěstí nic nenasvědčuje tomu, že si chyby všimnul někdo jiný než bezpečnostní experti. 

Zdroj: Techradar

6. 1. 2022