El creador de Magic: The Gathering ha confirmado que un lapso de seguridad expuso los datos de cientos de miles de jugadores.
El desarrollador del juego, Wizards of the Coast, con sede en Washington, dejó un archivo de copia de seguridad de la base de datos en un depósito de almacenamiento público de Amazon Web Services. El archivo de base de datos contenía información de cuenta de usuario para la arena en línea del juego. Pero no había una contraseña en el depósito de almacenamiento, lo que permitía a cualquiera acceder a los archivos en su interior.
No se cree que el cubo haya estado expuesto durante mucho tiempo, desde principios de septiembre, pero fue lo suficientemente largo para la empresa de ciberseguridad del Reino Unido. Seguridad de la información de Fidus para encontrar la base de datos.
Una revisión del archivo de la base de datos mostró que había 452,634 información de los jugadores, incluidas unas 470 direcciones de correo electrónico asociadas con el personal de Wizards. La base de datos incluía nombres de jugadores y nombres de usuario, direcciones de correo electrónico y la fecha y hora de creación de la cuenta. La base de datos también tenía contraseñas de usuario, que fueron codificadas y saladas, lo que dificultaba, pero no imposibilitaba, descifrar.
Ninguno de los datos fue encriptado. Las cuentas datan de al menos 2012, de acuerdo con nuestra revisión de los datos.
Una versión formateada del archivo de respaldo de la base de datos, redactada, que contiene 452,000 registros de usuarios. (Imagen: TechCrunch)
Fidus se acercó a Wizards of the Coast pero no le respondió. Fue solo después de que TechCrunch se acercó que el creador del juego desconectó el cubo de almacenamiento.
Bruce Dugan, un portavoz del desarrollador del juego, dijo a TechCrunch en un comunicado: "Nos enteramos de que un archivo de base de datos de un sitio web fuera de servicio se había hecho accesible sin querer fuera de la empresa".
"Eliminamos el archivo de la base de datos de nuestro servidor y comenzamos una investigación para determinar el alcance del incidente", dijo. "Creemos que este fue un incidente aislado y no tenemos ninguna razón para creer que se haya hecho un uso malicioso de los datos", pero el portavoz no proporcionó ninguna evidencia para este reclamo.
"Sin embargo, con mucha precaución, estamos notificando a los jugadores cuya información estaba contenida en la base de datos y exigiéndoles que restablezcan sus contraseñas en nuestro sistema actual", dijo.
Harriet Lester, directora de investigación y desarrollo de Fidus, dijo que era "sorprendente en la actualidad que las configuraciones erróneas y la falta de higiene básica de seguridad aún existan en esta escala, especialmente cuando se refiere a empresas tan grandes con una base de usuarios de más de 450,000 cuentas. "
“Nuestro equipo de investigación trabaja continuamente, buscando configuraciones erróneas como esta para alertar a las empresas lo antes posible para evitar que los datos caigan en las manos equivocadas. Es nuestra pequeña forma de ayudar a que Internet sea un lugar más seguro ", dijo a TechCrunch.
El fabricante del juego dijo que informó a las autoridades de protección de datos del Reino Unido sobre la exposición, en línea con las reglas de notificación de incumplimiento bajo las regulaciones GDPR de Europa. La Oficina del Comisionado de Información del Reino Unido no devolvió de inmediato un correo electrónico para confirmar la divulgación.
Las empresas pueden recibir una multa de hasta el 4% de su facturación anual por infracciones de GDPR.