SEGA случайно оставила открытым своё облачное хранилище — через него можно было получить доступ к сайтам игр и Steam API
Но уязвимость первыми обнаружили не хакеры, а специалисты по кибербезопасности.
SEGA, как обнаружил программист Аарон Филлипс, оставила открытым доступ к S3-хранилищу, в котором содержались ключи к Steam API и MailChimp, RSA-ключи, данные для входа в иные веб-сервисы Amazon. Это позволило, среди прочего, менять данные и запускать пользовательские скрипты на 26 сайтах европейского отдела компании, в том числе на главном домене SEGA, сайтах Total War, Company of Heroes, Vanquish, Football Manager, Sonic the Hedgehog и Bayonetta.
Доступ открылся и к CDN-хостингам SEGA, а также к системе SNS-уведомлений. Злоумышленники могли использовать эти уязвимости, чтобы рассылать мошеннические сообщения и вредоносное ПО как пользователям сайтов SEGA, так и сотрудникам компании.
Аарон Филлипс нашёл уязвимость 18 октября и сообщил о ней SEGA. Хакеры, судя по всему, не успели воспользоваться данными компании, — специалисты SEGA по кибербезопасности отреагировали оперативно и закрыли доступ к облачному хранилищу.
Несмотря на это, Филлипс отметил, что случай с SEGA показывает, насколько просто можно получить доступ к сетевой инфраструктуре даже крупных компаний. Многие, по словам специалиста, хранят важные данные в открытых облачных хранилищах и размещают информацию для входа во все ключевые сервисы в одном месте.