Sega a laissé une énorme base de données d'informations personnelles ouverte aux pirates

Logo Sega
(Crédit photo: Shutterstock)

Sega Europe aurait pu facilement être victime d'une violation de données. En effet, des chercheurs en sécurité ont récemment découvert que la société avait laissé des fichiers sensibles stockés de manière non sécurisée sur une base de données accessible au public.

Les chercheurs de la société de sécurité VPN Overview ont découvert que les fichiers en question étaient stockés dans un seau S3 mal configuré d'Amazon Web Services (AWS). Ils ont également pu obtenir plusieurs jeux de clés AWS qui leur ont donné un accès en lecture et en écriture au stockage cloud de Sega Europe.

Outre les fichiers sensibles, le seau S3 mal configuré contenait également des sites Web pour un certain nombre de propriétés populaires de Sega, notamment Sonic the Hedgehog, Bayonetta, Football Manager et Total War, ainsi que le site officiel de Sega. Au total, 26 domaines publics contrôlés par Sega Europe ont été touchés.

Selon un nouveau rapport, les chercheurs de VPN Overview ont été en mesure de télécharger des fichiers, d'exécuter des scripts, d'altérer des pages Web existantes et de modifier la configuration de domaines Sega extrêmement vulnérables.

Courriel et services cloud compromis

Au cours de son enquête, l'équipe de sécurité de VPN Overview a récupéré une API du logiciel de marketing par courriel MailChimp qui lui permettait d'envoyer des courriels à partir de l'adresse donotreply@footballmanager.com.

L'équipe a ensuite envoyé plusieurs messages pour tester son accès et chaque courriel envoyé semblait légitime et utilisait également le cryptage TLS. À partir de là, les chercheurs ont pu modifier les modèles MailChimp existants et même créer les leurs. Comme tous les courriels envoyés aux utilisateurs de Football Manager semblaient légitimes et pouvaient contourner les contrôles de sécurité des courriels, un attaquant malveillant aurait pu utiliser cet accès pour lancer des campagnes de phishing.

VPN Overview a également pu télécharger et remplacer des fichiers sur trois des réseaux de diffusion de contenu (CDN) de Sega. Comme les sites Web tiers renvoient souvent au CDN d'une entreprise pour obtenir la version officielle d'une image ou d'un fichier, 531 domaines supplémentaires étaient liés aux CDN concernés de Sega Europe. Par conséquent, un attaquant aurait pu abuser des CDN de l'entreprise pour distribuer des logiciels malveillants et des ransomwares à des utilisateurs peu méfiants.

Après avoir découvert que le seau S3 de Sega Europe était mal configuré, VPN Overview a divulgué ses conclusions de manière responsable à l'entreprise, qui a ensuite sécurisé la base de données et tous les services et logiciels en cloud concernés.

Rédactrice, TechRadar France

La globe-trotteuse de l’équipe. Clio se dévoue toujours pour analyser la qualité des réseaux 5G et Wi-Fi aux quatre coins du monde. Elle peut classer les hotspots comme les VPN les plus fiables, les applications indispensables pour anticiper la météo, les retards de vol ou la flambée du cours d’une devise. Mais surtout, elle adore comparer les gadgets domotiques qu’il est bon d’activer quand on rentre à la maison.