Lek bij SEGA Football Manager: gegevens van 250.000 gebruikers toegankelijk

Door een lek bij SEGA waren de gegevens van zo’n 250.000 forumleden behorend bij het spel Football Manager toegankelijk, zo blijkt uit onderzoek van VPNGids.nl. Het is onduidelijk hoeveel Nederlandse gebruikersgegevens binnen het lek beschikbaar waren. 

Mails versturen vanuit het officiële mailaccount

Met behulp van openbaar toegankelijke sleutels konden cybersecurity-onderzoekers van VPNGids.nl ook mails versturen vanuit het officiële mailaccount van de voetbalgame en verscheidene websites overnemen.

Via een onjuist geconfigureerde en onbeveiligde Amazon S3-bucket verleende SEGA Europe onbedoeld externe partijen toegang tot een groot deel van zijn cloudinfrastructuur. SEGA werd direct op de hoogte gebracht en heeft de meeste kwetsbaarheden inmiddels gepatcht en verholpen.

Het team van VPNGids.nl kon uit naam van SEGA:

• Bestanden uploaden, scripts uitvoeren, bestaande webpagina’s en de configuratie van tientallen subdomeinen wijzigen die eigendom zijn van of gelieerd zijn aan SEGA, zoals https://careers.sega.co.uk/ en http://bayonetta.com/.
• Steam Developer-sleutels verkrijgen en gebruikenToegang krijgen tot persoonlijke gegevens, waaronder IP-adressen en e-mailadressen, van ongeveer 250.000 gebruikers van SEGA’s Football Manager forums
• Een MailChimp API-sleutel verkrijgen waarmee e-mails kunnen worden verzonden vanaf het e-mailaccount donotreply@footballmanager.com

Het complete rapport is hier te vinden: https://www.vpngids.nl/nieuws/sega-europe-getroffen-door-ernstig-beveiligingslek/

Beveiligingslek van deze omvang biedt ruimte voor extreem doelgerichte en geavanceerde aanvallen

Waarom is dit beveiligingslek potentieel zo impactvol en gevaarlijk? Toegang tot een mailinglijst van deze omvang, gecombineerd met controle over een officiële SEGA e-mailaccount and verscheidene SEGA websites, stelt een aanvaller in staat een uitgekiende aanval te initiëren die ontzettend moeilijk als dusdanig te herkennen is door gebruikers.

David Janssen, cyber security analist van VPNGids.nl, legt uit: “Concreet zou een crimineel de SEGA-database met 250.000 e-mailadressen kunnen gebruiken om grootschalig e-mails te verzenden vanuit een officieel SEGA e-mailaccount. In de e-mail worden gebruikers aangemoedigd om een geïnfecteerd bestand te downloaden of op een link naar een officiële SEGA-website te klikken waar kwaadaardige scripts worden uitgevoerd of malware wordt geïnstalleerd. Zonder zich daar bewust van te zijn, zouden slachtoffers interacteren met officiële SEGA e-mailaccounts en officiële SEGA-websites die worden beheerd door een crimineel.”

Omdat er onlangs nog een nieuwe versie van het Football Manager spel is uitgekomen (november 2021), zou dit een perfect moment zijn voor een crimineel om fans van het spel te benaderen zonder argwaan te wekken.

Risico’s door onjuiste configuratie Amazon buckets

Janssen: “Er zijn momenteel geen aanwijzingen dat de gebruikersgegevens in verkeerde handen zijn gevallen maar dit datalek geeft eens te meer aan hoe kwetsbaar zelfs de grootste organisaties kunnen zijn als gevolg van misstappen op het gebied van cyberbeveiliging.”

“Verkeerd geconfigureerde Amazon Buckets zijn berucht als het gaat om het veroorzaken van grote data- en beveiligingsinbreuken. Het beveiligingslek bij SEGA illustreert de noodzaak voor organisaties om mogelijke beveiligingsfouten in hun cloudopslag dubbel te controleren en te patchen. Amazon geeft op haar website advies over best practices voor toegangscontrole.”