Accueil » Actualité » SEGA évite de justesse d’énormes fuites de données d’utilisateurs

SEGA évite de justesse d’énormes fuites de données d’utilisateurs

Des chercheurs en sécurité ont récemment découvert que SEGA avait laissé des fichiers sensibles stockés de manière non sécurisée dans une base de données accessible au public.

Le compartiment Amazon Web Services S3 mal configuré contenait des informations sensibles qui ont permis aux chercheurs de la société VPN Overview de télécharger arbitrairement des fichiers sur une vaste bande de domaines appartenant à Sega, ainsi que des informations d’identification permettant d’abuser d’une liste de diffusion de 250 000 utilisateurs. Il semble maintenant que la faille ait été fermée, mais SEGA a eu très très chaud.

SEGA a laissé la porte ouverte aux hackers par erreur (montage) - Crédits : SEGA
SEGA a laissé la porte ouverte aux hackers par erreur (montage) – Crédits : SEGA

Les experts ont pu trouver des clés de sécurité qui leur auraient permis d’accéder à toutes sortes de services au nom de Sega, notamment AWS, Mailchimp et Steam (Steam a lui-même récemment récompensé un hacker pour la découverte d’une faille majeure). En plus de cela, ils ont pu exécuter des scripts et télécharger des fichiers sur 26 domaines des franchises phares de Sega, notamment Sonic The Hedgehog, Bayonetta et Total War, ainsi que Sega.com lui-même. Dans une paire de mains plus malveillante, imaginez ce que les pirates auraient pu faire s’ils avaient découvert la faille. Cela aurait pu exposer les utilisateurs à des logiciels malveillants et des Trojan…rien que cela.

Une porte grande ouverte au premier Hacker

La clé d’une API Mailchimp mal stockée donnait accès à la liste de diffusion. Les e-mails affichaient le texte, ainsi que les adresses IP et les mots de passe associés. Selon VPNO, n’importe qui aurait pu aussi mettre en place un ransomware très efficacement en utilisant les services de messagerie et de cloud de Sega. La société Acer en a fait l’expérience en octobre en voyant les données de ses utilisateurs encore volées par des hackers.

Heureusement, il semble que VPNO ait été le premier à découvrir le problème. L’agence a ensuite aidé Sega à le résoudre, et aucun attaquant n’a eu accès au serveur. La multinationale japonaise n’a pas commenté l’incident pour le moment.

Les compartiments S3 mal configurés sont, malheureusement, un problème extrêmement courant dans la sécurité de l’information.

À lire aussi : Des serveurs HP ont été piratés pour miner du Raptoreum

Source : Techradar