SEGA 其中一個歐洲伺服器被發現「中門大開」,25 萬用戶資料受影響

駭客可以輕易植入惡意程式和獲得用戶資料。

Sega Corp. logos are reflected in windows near the company headquarters in Tokyo June 20, 2011. Japanese video game developer Sega Corp said on Sunday that information belonging to 1.3 million customers has been stolen from its database, the latest in a rash of global cyber attacks against video game companies. REUTERS/Kim Kyung-Hoon (JAPAN - Tags: CRIME LAW SCI TECH BUSINESS) - GM1E76K19QU01

據安全研究中心 VPN Overview 的發現,SEGA 其中一個位於歐洲的伺服器因為 Amazon Web Services S3 簡易儲存服務的設定有誤,讓駭客可以任意上載檔案到 SEGA 域名的網站,其中更涉及 25 萬名用戶的電郵資料。

所謂的 SEGA 域名,是包括了眾多著名遊戲的官方網站,像是《音速小子 Sonic the Hedgehog》、《魔兵驚天錄 Bayonetta》、《全軍破敵 Total War》等遊戲,當然也有 sega.com 在內的。VPNO 表示他們可以在這些網站裡執行任何的指令。同時不當儲存的 Mailchimp API 密匙,就能讓 VPNO 查看到受影響用戶的登入電郵、密碼、IP 位址,帶來極大的資安風險。

幸好目前沒有證據顯示 SEGA 伺服器的漏洞有被 VPNO 以外的第三方發現,而 SEGA 歐洲就沒有回應查詢。

是說,Services S3 簡易儲存服務的設定是蠻經常出現錯誤設定,SennheiserSenior AdvisorPeopleGIS,甚至是迦納政府的網站也曾經發生過。至於 SEGA 自身更是曾經在 2011 年時就曾成為 130 萬名用戶資料外洩的源頭,現在再有網路安全隱患的出現,實在叫人擔心呢。