秒送号(miaosong.cn)自媒体平台11月18日消息,《Magic:The Gathering》的制造商已经确认,安全漏洞使数十万游戏玩家的数据暴露了出来。游戏的开发商,位于华盛顿的Wizards of Coast,将数据库备份文件留在了公共的Amazon Web Services存储桶中。但是存储桶上没有密码,任何人都可以访问其中的文件。
自9月初以来,人们一直认为该存储桶已经暴露了很长时间,但是对于英国网络安全公司Fidus Information Security来说,找到数据库的时间已经足够长了。
对数据库文件的检查显示,有452,634名球员的信息,其中包括与奇才队相关的约470个电子邮件地址。该数据库包括玩家名称和用户名,电子邮件地址,以及创建帐户的日期和时间。该数据库还具有用户密码,这些密码经过哈希处理和加盐处理,因此很难但并非不可能解密。
没有数据被加密。根据我们对数据的审查,这些帐户的日期至少可以追溯到2012年,但是一些最近的条目可以追溯到2018年中期。
已编辑的数据库备份文件的格式化版本,包含452,000个用户记录。图片:TechCrunch)
Fidus向海岸奇才伸出援手,但没有听到任何回音。直到TechCrunch伸出手之后,游戏制造商才将存储桶脱机。
游戏开发者发言人布鲁斯·杜根(Bruce Dugan)在一份声明中对TechCrunch表示:“我们了解到,已退役网站上的数据库文件被无意间从公司外部访问了。”
他说:“我们从服务器上删除了数据库文件,并开始了调查以确定事件的范围。” “我们认为这是一起孤立事件,我们没有理由相信对数据进行了任何恶意使用,”但是发言人没有提供任何证据证明这一说法。
他说:“但是,出于谨慎考虑,我们会通知玩家其信息已包含在数据库中,并要求他们在我们当前的系统上重置密码。”
Fidus研发总监Harriet Lester表示:“在当今时代,错误的配置和缺乏基本的安全卫生措施仍然令人感到惊讶,尤其是当涉及到拥有超过450,000个帐户用户的大型公司时。 ”
“我们的研究团队不断工作,寻找诸如此类的错误配置,以尽快提醒公司,避免数据落入不正确的人手中。这是我们帮助互联网更安全的小方法,”她告诉TechCrunch。
这家游戏机制造商表示,已根据欧洲GDPR法规的违规通知规则将有关暴露情况告知了英国数据保护部门。英国信息专员办公室没有立即退回电子邮件以确认披露。
对于违反GDPR的公司,最高可处以其年营业额4%的罚款。
