Bei einer Sicherheitsüberprüfung durch VPN Overview bei Sega Europe stießen die Sicherheitsforscher auf eine Sicherheitslücke.
Sicherheitsforscher von VPN Overview entdeckten kürzlich, dass Sega Europe sensible Dateien in einer öffentlich zugänglichen Datenbank ungesichert gespeichert hatte. Der Datensatz enthielt u.a. einige Benutzerdaten, darunter „Informationen zu Hunderttausenden Usern der Football Manager-Foren“. Das Unternehmen hätte somit leicht einer Sicherheitsverletzung zum Opfer fallen können. Tatsächlich fanden sich allerdings keinerlei Beweise dafür, dass Hacker die Lücke im Netzwerk gefunden bzw. ausgenutzt hätten.
Nach Angaben der Sicherheitsforscher hatte das Unternehmen personenbezogene Daten und sensible Dateien in einem falsch konfigurierten S3-Bucket von Amazon Web Services (AWS) gespeichert. Die Experten waren auch in der Lage, mehrere Sätze von AWS-Schlüsseln zu erhalten, die ihnen Lese- und Schreibzugriff auf den Cloud-Speicher des Spieleherstellers ermöglichten.
Zu den betroffenen Bereichen gehörten die Homepages der wichtigsten Franchises, darunter Sonic, Bayonetta und Total War, Football Manager sowie die offizielle Website des Spieleherstellers. Insgesamt waren 26 von Sega Europe kontrollierte, öffentlich zugängliche Domains betroffen. Die Forscher von VPN Overview waren in der Lage, Dateien hochzuladen, Skripte auszuführen, bestehende Webseiten zu verändern und die Konfiguration der anfälligen Sega-Domains zu modifizieren.
Kompromittierte E-Mail- und Cloud-Dienste von Sega
Ein unsachgemäß gespeicherter Mailchimp-API-Schlüssel ermöglichte den Zugriff auf die E-Mail-Adressen. Die E-Mails waren im Klartext verfügbar, zusammen mit den zugehörigen IP-Adressen und Passwörtern. Diese konnten die Forscher entschlüsseln, obwohl sie gehasht waren. Ein böswilliger Akteur hätte sehr einfach und effizient Ransomware über die kompromittierten E-Mail- und Cloud-Dienste von Sega verbreiten können. Hacker hätten zudem Änderungen an Segas Spielen auf Steam vornehmen können und vieles andere mehr.
Nach der Entdeckung des fehlkonfigurierten S3-Buckets von Sega Europe teilte VPN Overview seine Erkenntnisse Sega Europe mit. VPN Overview hat anschließend „mit SEGA zusammengearbeitet, um die Sicherheitslücke zu schließen“. Damit gewährleisteten sie, dass Benutzer sicher auf offizielle Websites und Foren zugreifen können.
Sega Europe Ltd. ist seit ihrer Gründung im August 1991 der europäische Zweig des Spieleherstellers. Die Schwesterabteilung ist Sega of America.