“ Magic：The Gathering”游戏开发商暴露了452,000位玩家的帐户数据

 
《 Magic：The Gathering》的制造商已经确认，安全漏洞使数十万游戏玩家的数据暴露了出来。
该游戏的开发者，位于华盛顿的海岸奇才(Wizards of Coast)，将数据库备份文件留在了公共的Amazon Web Services存储桶中。该数据库文件包含游戏在线竞技场的用户帐户信息。但是存储桶上没有密码，任何人都可以访问其中的文件。
据信，自9月初以来，这个存储桶已经暴露了很长时间，但是足够长的时间让英国网络安全公司Fidus Information Security找到该数据库。
对数据库文件的检查显示，有452,634个玩家信息，包括与奇才队职员相关的大约470个电子邮件地址。该数据库包括玩家名称和用户名，电子邮件地址，以及帐户创建的日期和时间。该数据库还具有用户密码，这些密码经过哈希处理和加盐处理，因此很难但并非不可能解密。
没有数据被加密。根据我们对数据的审查，这些帐户的日期至少可以追溯到2012年，但是一些最近的条目可以追溯到2018年中期。
已编辑的数据库备份文件的格式化版本，包含452,000个用户记录。图片：TechCrunch)
Fidus向海岸奇才伸出援手，但没有听到任何回音。直到TechCrunch伸出手之后，游戏制造商才将存储桶脱机。
游戏开发者发言人布鲁斯·杜根(Bruce Dugan)在一份声明中对TechCrunch表示：“我们了解到，退役网站上的数据库文件被无意间从公司外部访问了。”
他说：“我们从服务器上删除了数据库文件，并开始了调查以确定事件的范围。” “我们认为这是一起孤立事件，我们没有理由相信对数据进行了任何恶意使用，”但是发言人没有提供任何证据证明这一说法。
他说：“但是，出于谨慎考虑，我们会通知玩家其信息已包含在数据库中，并要求他们在我们当前的系统上重置密码。”
Fidus研发总监Harriet Lester表示：“在当今时代，错误的配置和缺乏基本的安全卫生措施仍然令人感到惊讶，尤其是当涉及到拥有超过450,000个帐户用户的大型公司时。 ”
“我们的研究团队不断工作，寻找诸如此类的错误配置，以尽快提醒公司，避免数据落入不正确的人手中。这是我们帮助互联网更安全的小方法，”她告诉TechCrunch。
这家游戏机制造商表示，已根据欧洲GDPR法规的违规通知规则将有关暴露情况通知了英国数据保护部门。英国信息专员办公室没有立即返回电子邮件以确认披露。