Ce qui aurait pu être une brèche dommageable dans l’un des serveurs de Sega semble avoir été fermé, selon un rapport de la société de sécurité VPN Overview. Le compartiment Amazon Web Services S3 mal configuré contenait des informations sensibles qui ont permis aux chercheurs de télécharger arbitrairement des fichiers sur une vaste bande de domaines appartenant à Sega, ainsi que des informations d’identification pour abuser d’une liste de diffusion de 250 000 utilisateurs.
Les domaines concernés comprenaient les pages de destination officielles des principales franchises, notamment Sonic the Hedgehog, Bayonetta et Total War, ainsi que le site Sega.com lui-même. VPNO a pu exécuter des scripts exécutables sur ces sites qui, comme vous pouvez l’imaginer, auraient été assez mauvais si cette brèche avait été découverte par des acteurs malveillants au lieu de chercheurs.
Une clé API Mailchimp mal stockée a permis à VPNO d’accéder à la liste de diffusion susmentionnée. Les e-mails eux-mêmes étaient disponibles en texte clair avec les adresses IP associées et les mots de passe que les chercheurs ont pu dé-hacher. Selon le rapport, « un utilisateur malveillant aurait pu distribuer un ransomware très efficacement en utilisant les services de messagerie et de cloud compromis de SEGA ».
Jusqu’à présent, rien n’indique que des acteurs malveillants aient utilisé cette vulnérabilité avant que VPNO ne la découvre et n’aide Sega à la corriger. Sega Europe n’était pas disponible pour commenter.
Les compartiments S3 mal configurés sont, malheureusement, un problème extrêmement courant dans la sécurité de l’information. Des erreurs similaires cette année ont affecté la société audio Sennheiser, le conseiller principal, PeopleGIS et le gouvernement du Ghana. Sega a été la cible d’une attaque majeure en 2011 qui a conduit à l’exfiltration d’informations personnellement identifiables concernant 1,3 million d’utilisateurs. Heureusement, ce serveur européen mal configuré n’a pas entraîné un incident similaire.
Tous les produits recommandés par Engadget sont sélectionnés par notre équipe éditoriale, indépendante de notre maison mère. Certaines de nos histoires incluent des liens d’affiliation. Si vous achetez quelque chose via l’un de ces liens, nous pouvons gagner une commission d’affiliation.