Spelontwikkelaar Sega ontsnapt aan een groot datalek na de ontdekking van een slecht geconfigureerde AWS S3 bucket.
Game-ontwikkelaar Sega illustreert ongewild nogmaals het gevaar van misconfiguraties in de cloud. Beveiligingsfirma VPN Overview ontdekte een slecht opgeslagen API-sleutel voor Mailchimp. Daarmee kon het bedrijf toegang krijgen tot een AWS S3 bucket van Sega Europe. Daarin vonden de onderzoekers een schat aan informatie, waaronder 250.000 e-mailadressen en een database aan versleutelde wachtwoorden waarvan ze er toch verschillenden konden ontgrendelen.
Misbruikpotentieel
VPNO had toegang tot data van domeinen voor populaire spellen en Sega.com zelf. De specialisten konden bovendien scripts uitvoeren op de getroffen sites en konden aan de slag met de maildienst van Sega. Dergelijke toegang kan in slechte handen nefast zijn. Een hacker zou bijvoorbeeld heel gerichte phishingcampagnes kunnen opzetten.
VPNO waarschuwde Sega voor de slechte configuratie en het probleem is intussen verholpen. Er is geen reden om aan te nemen dat malafide individuen de misconfiguratie konden misbruiken.
Het euvel toont aan hoe belangrijk de juiste configuratie van clouddiensten is. Een kleine vergissing kan verregaande gevolgen hebben en de deur openzetten voor hackers, zonder dat er sprake is van een lek of bug.