Raksasa
Gaming SEGA Eropa baru-baru ini menemukan bahwa data sensitifnya disimpan di bucket S3 Amazon Web Services (AWS) tanpa jaminan selama audit keamanan cloud, dan membagikan kisahnya untuk menginspirasi organisasi lain untuk memeriksa ulang sistem mereka sendiri.
Peneliti Aaron Phillips dengan VPN Tinjauan bekerja dengan SEGA Eropa untuk mengamankan data yang terbuka. Phillips menjelaskan pengungkapan SEGA dimaksudkan untuk membantu komunitas keamanan siber yang lebih luas meningkatkan pertahanan mereka sendiri.
“Ketika kerentanan ditemukan, berbagi informasi dan pengetahuan sangat penting,” tulis Phillips. “Organisasi dapat belajar dari studi kasus dan pengalaman satu sama lain, yang memungkinkan mereka untuk melindungi diri mereka sendiri dan penggunanya dengan lebih baik.”
Mengapa memberikan keuntungan bagi penyerang untuk merahasiakan kesalahan keamanan cloud yang sangat umum ini?
“Selain itu, ini jauh lebih diinginkan bahwa kerentanan ditemukan dan dibagikan secara bertanggung jawab oleh peneliti keamanan daripada oleh peretas dengan niat kriminal,” tambah Phillips.
Steam Keys, SNS, dan CDNs Left Exposed
Daftar cucian data SEGA yang berpotensi terekspos memuakkan — kunci API, sistem pesan internal , sistem cloud, data pengguna, dan banyak lagi.
Laporan Ikhtisar VPN memberikan pengungkapan terperinci bahwa bucket yang terbuka menyimpan “beberapa” set kunci AWS, yang dapat memberikan akses berbahaya ke semua layanan cloud SEGA Eropa.
Selain itu, kunci untuk Kunci MailChimp dan Steam API SEGA Eropa dibiarkan tidak terlindungi, yang berarti penyerang dapat mengirimkan komunikasi melalui SEG Sebuah akun Eropa, kata laporan itu.
Ember S3 yang terbuka juga dapat memungkinkan akses ke layanan pemberitahuan sederhana (SNS) yang digunakan oleh tim TI perusahaan untuk berkomunikasi serta 531 jaringan pengiriman konten (CDN) SEGA Eropa, tim found.
“Seringkali, situs web pihak ketiga akan menautkan ke CDN perusahaan untuk versi resmi gambar atau file,” tambah laporan itu. “Itu menciptakan potensi dampak sekunder yang besar.”
Ember tanpa jaminan juga berisi data sensitif pada “ratusan ribu” anggota forum Football Manager, Phillips menambahkan.
Sejauh ini, “tidak ada indikasi pihak ketiga yang jahat mengakses situs tersebut. data sensitif atau mengeksploitasi salah satu kerentanan yang disebutkan sebelum peneliti keamanan membatasi akses ke bucket,” Phillips menekankan.
Researchers menemukan 26 domain SEGA yang rentan dan menghadap publik yang memungkinkan penyerang mengunggah file berbahaya dan mengubah konten, kata laporan itu. . Para analis juga dapat mengakses file di tiga SEGA CDNs.
Gaming Companies’ Data: ‘Treasure Troves’
Sejumlah data sensitif yang jatuh ke tangan aktor jahat dapat dengan mudah menjadi bencana bagi organisasi mana pun, tetapi Hank Schless dengan Lookout menjelaskan kepada Perusahaan game Threatpost terus menjadi perhatian khusus bagi attackers.
“Perusahaan game memiliki harta karun berupa data pribadi, informasi pengembangan, kode kepemilikan, dan informasi pembayaran yang sangat berharga bagi pelaku ancaman,” tambah Schless. “Dengan undang-undang privasi data seperti CCPA dan GDPR, perusahaan game perlu memastikan bahwa data mereka dilindungi karena orang-orang dari seluruh dunia memainkan game mereka.”
Memang, perusahaan terkemuka seperti Steam, Among Us, Riot Games, dan lainnya telah dibajak dan digunakan untuk memikat gamer yang tidak curiga ke dalam segala macam penipuan. Phillips menulis bahwa dia berharap laporan ini menunjukkan bagaimana sesuatu yang sederhana seperti bucket S3 yang salah konfigurasi dapat menyebabkan bencana besar bagi organisasi.
“Laporan keamanan siber ini harus berfungsi sebagai peringatan bagi bisnis untuk menilai praktik keamanan cloud mereka,” tambah Phillips. “Kami berharap organisasi lain mengikuti jejak SEGA dengan memeriksa dan menutup kerentanan yang terlihat sebelum mereka dieksploitasi oleh penjahat dunia maya.”