A divisão europeia da Sega deixou expostos na internet arquivos confidenciais contendo dados pessoais de milhões de usuários. A brecha foi descoberta em outubro pela empresa de segurança VPN Overview, que verificou uma desconfiguração em um dos servidores AWS (Amazon Web Services) da empresa no continente.
Além de dados de usuários da Sega e senhas encriptadas, estavam abertas ainda informações como credenciais de login AWS, chaves para acesso da API MailChimp e chave de desenvolvedor do Steam. Os dados podiam ser encontrados e acessados por qualquer um e podiam ser utilizados para lançar ataques contra clientes e funcionários da empresa.
Os pesquisadores da VPN Overview foram capazes de obter várias chaves AWS que lhes deram acesso à leitura e gravação de dados na nuvem da Sega Europe. Entre os jogos afetados pela falha no servidor, vários títulos populares como Sonic the Hedgehog, Bayonetta, Football Manager e Total War, bem como o site oficial da desenvolvedora. No caso de Football Manager, possíveis hackers eventualmente poderiam ter acesso a informações de milhões de usuários inscritos no fórum do jogo.
Os pesquisadores também puderam subir arquivos, executar scripts, alterar páginas já existentes e modificar a configuração dos domínios, segundo publicação da VPN Overview divulgada na quinta-feira (30). Ao todo, 26 domínios públicos controlados pela Sega foram atingidos.
Leia também:
- ‘Sonic Frontiers’ tem possível data de lançamento vazada
- Nintendo Switch recebe cinco jogos clássicos do Genesis
- Sega e Microsoft anunciam parceria para desenvolvimento de jogos na nuvem
Risco de phishing
Outra descoberta crítica da empresa de segurança foi uma brecha na API do serviço de envio de newsletters MailChimp. Por meio dela, seria possível enviar emails pelo endereço [email protected] e alterar templates existentes para criar seu próprio e, assim, gerar campanhas de phishing. “Um email fraudulento enviado através da MailChimp poderia aparecer oficial”, explica a publicação.
Apesar da exposição de dados, a VPN Overview afirmou que os técnicos de cibersegurança da tradicional companhia foram rápidos para resolver o problema assim que responderam ao alerta da pesquisa. Não há também, segundo a empresa, nenhuma indicação de que agentes maliciosos tenham explorado ativamente as vulnerabilidades no sistema da Sega ou tido acesso aos dados de usuários.
“Uma boa prática para que as organizações testem regularmente suas normas de segurança”, disse Aaron Phillips, um dos programadores que participaram da pesquisa, em comunicado à imprensa.
Imagem: IB Photography/Shutterstock
Já assistiu aos nossos novos vídeos no YouTube? Inscreva-se no nosso canal!
Tags: