Die AWS-Anmeldeinformationen von SEGA Europe standen allen offen

Die AWS-Anmeldeinformationen von SEGA Europe waren bis vor kurzem öffentlich verfügbar, Angreifern ermöglichen, Malware über die Gaming-Websites des Unternehmens zu verbreiten, unter anderen. Die Schwachstellen wurden gepatcht.

Forschern von SEGA Europe ist es gelungen, Zugang zu, unter anderem, der Steam-Entwicklerschlüssel, Datenbank- und Forenpasswörter und der API-Schlüssel von MailChimp. Vor allem der öffentliche Zugang zu den Zugangsdaten für Amazon Web Services könnte einen großen Einfluss gehabt haben, laut Sicherheitsforscher.

Diese Anmeldeinformationen gewährten Lese- und Schreibzugriff auf die AWS S3-Buckets von SEGA Europe. Es war möglich, in neun der öffentlichen Domänen des Unternehmens Malware hochzuladen und Inhalte zu ändern. Downloads.sega.com, cdn.sega.com, und bayonetta.com, unter anderen, waren kritische Schwachstellen.

Mit den erhaltenen AWS-Anmeldeinformationen, die Forscher konnten die Online-Speicherumgebung von SEGA auf weiteren Zugriff scannen. Die Forscher fanden im Oktober die ersten Schwachstellen 18. Sie teilten ihre Ergebnisse mit SEGA Europe, die die neuesten Schwachstellen Ende Oktober behoben haben.