Sega, développeur de jeux, échappe à une importante violation de données après avoir découvert un « bucket » AWS S3 mal configuré.
Le développeur de jeux Sega montre une fois de plus, sans le vouloir, le danger des mauvaises configurations dans le cloud. L’entreprise de sécurité VPN Overview a découvert une clé API mal stockée pour Mailchimp. Grâce à elle, l’entreprise a pu accéder à un « bucket » AWS S3 appartenant à Sega Europe. Les chercheurs y ont trouvé une multitude d’informations, dont 250 000 adresses e-mail et une base de données de mots de passe cryptés. Plusieurs d’entre eux ont pu être déverrouillés.
Risque d’abus
VPNO a eu accès aux données des domaines de jeux populaires et de Sega.com lui-même. En outre, les spécialistes pouvaient exécuter des scripts sur les sites concernés et utiliser le service de messagerie de Sega. Entre de mauvaises mains, cet accès peut être dangereux. Un pirate pourrait, par exemple, lancer des campagnes d’hameçonnage très ciblées.
VPNO a averti Sega de la mauvaise configuration et le problème a depuis été corrigé. Rien ne permet de penser que des individus mal intentionnés aient pu exploiter cette erreur de configuration.
Ce défaut montre l’importance d’une configuration correcte des services en cloud. Une petite erreur peut avoir de graves conséquences et ouvrir la porte aux pirates, sans qu’il y ait de fuites ou de bugs.