SEGA случайно оставила открытым своё облачное хранилище — через него можно было получить доступ к сайтам игр и Steam API

Но уязвимость первыми обнаружили не хакеры, а специалисты по кибербезопасности.

SEGA случайно оставила открытым своё облачное хранилище — через него можно было получить доступ к сайтам игр и Steam API

SEGA, как обнаружил программист Аарон Филлипс, оставила открытым доступ к S3-хранилищу, в котором содержались ключи к Steam API и MailChimp, RSA-ключи, данные для входа в иные веб-сервисы Amazon. Это позволило, среди прочего, менять данные и запускать пользовательские скрипты на 26 сайтах европейского отдела компании, в том числе на главном домене SEGA, сайтах Total War, Company of Heroes, Vanquish, Football Manager, Sonic the Hedgehog и Bayonetta.

Доступ открылся и к CDN-хостингам SEGA, а также к системе SNS-уведомлений. Злоумышленники могли использовать эти уязвимости, чтобы рассылать мошеннические сообщения и вредоносное ПО как пользователям сайтов SEGA, так и сотрудникам компании.

Как преступники могли использовать данные SEGA, попавшие в открытый доступ
Как преступники могли использовать данные SEGA, попавшие в открытый доступ

Аарон Филлипс нашёл уязвимость 18 октября и сообщил о ней SEGA. Хакеры, судя по всему, не успели воспользоваться данными компании, — специалисты SEGA по кибербезопасности отреагировали оперативно и закрыли доступ к облачному хранилищу.

Несмотря на это, Филлипс отметил, что случай с SEGA показывает, насколько просто можно получить доступ к сетевой инфраструктуре даже крупных компаний. Многие, по словам специалиста, хранят важные данные в открытых облачных хранилищах и размещают информацию для входа во все ключевые сервисы в одном месте.

7979
29 комментариев

уязвимость первыми обнаружили не хакеры, а специалисты по кибербезопасностиЧудо новогоднее

128

Комментарий недоступен

8

Аарон Филлипс нашёл уязвимость 18 октября

6

Хакеры, которые первыми обнаружили доступ, просто об этом не сообщили.

37

Это ж как надо умудриться, чтобы оставить такую дыру? В AWS все сделано для максимальной безопасности. Чтобы сделать бакет S3 и его содержимое открытым это нужно целенаправленно сделать десяток действий... Видимо кто-то целенаправленно это сделал, либо какому-то сисадмину надоело пользователей к группам подкреплять и он решил авось никто не заметит

26

Скорее, второе)
При кривом обновлении софта мб могут слететь настройки?

3

Будто ты ни разу не слышал, как ключи от АВС утекают вместе с кодом на какой-нибудь гитхаб т.к сотрудникам просто лень было вынести их в переменные среды.

Есть даже отдельные службы типа git guardian, которые специализируются на случайных утечках креденшиалз.

5