Die AWS-Anmeldeinformationen von SEGA Europe waren bis vor kurzem öffentlich verfügbar, was es Angreifern ermöglichte, Malware unter anderem über die Gaming-Websites des Unternehmens zu verbreiten. Die Schwachstellen wurden gepatcht.
Forschern von SEGA Europe gelang es, unter anderem Zugriff auf den Steam-Entwicklerschlüssel, Datenbank- und Forenpasswörter und den API-Schlüssel von MailChimp zu erhalten. Vor allem der öffentliche Zugang zu den Zugangsdaten für Amazon Web Services könnte laut Sicherheitsforscher große Auswirkungen gehabt haben.
Diese Anmeldeinformationen gewährten Lese- und Schreibzugriff auf die AWS S3-Buckets von SEGA Europe. Auf neun öffentlichen Domänen des Unternehmens war es möglich, Malware hochzuladen und Inhalte zu ändern. Unter anderem waren Downloads.sega.com, cdn.sega.com und bayonetta.com kritische Sicherheitslücken.
Mit den erhaltenen AWS-Anmeldeinformationen konnten die Forscher dies tun scan SEGAs Online-Speicherumgebung für weiteren Zugriff. Die Forscher fanden die ersten Schwachstellen am 18. Oktober. Sie teilten ihre Ergebnisse mit SEGA Europe, das die neuesten Schwachstellen Ende Oktober behebt.