Las credenciales de AWS de SEGA Europe estaban abiertas a todos

Las credenciales AWS de SEGA Europe estaban disponibles públicamente hasta hace poco, Permitir a los atacantes propagar malware a través de los sitios web de juegos de la empresa., entre otros. Las vulnerabilidades han sido parcheadas..

Los investigadores de SEGA Europa consiguieron acceder a, entre otras cosas, la clave de desarrollador de Steam, contraseñas de bases de datos y foros y la clave API de MailChimp. Especialmente el acceso público a las credenciales de Amazon Web Services podría haber tenido un gran impacto., según el investigador de seguridad.

Estas credenciales proporcionaron acceso de lectura y escritura a los buckets AWS S3 de SEGA Europe. Era posible cargar software malicioso y modificar contenido en nueve de los dominios públicos de la empresa.. Downloads.sega.com, cdn.sega.com, y bayonetta.com, entre otros, eran vulnerabilidades críticas.

Con las credenciales de AWS obtenidas, los investigadores pudieron escanear el entorno de almacenamiento en línea de SEGA para obtener más acceso. Los investigadores encontraron las primeras vulnerabilidades en octubre 18. Compartieron sus hallazgos con SEGA Europe, que solucionó las últimas vulnerabilidades a finales de octubre.