SEGA EuropeのAWSクレデンシャルは最近まで公開されていたため、攻撃者は会社のゲームWebサイトなどを介してマルウェアを拡散させることができました。 脆弱性にパッチが適用されました。
SEGA Europeの研究者は、とりわけ、Steam開発者キー、データベースとフォーラムのパスワード、およびMailChimpのAPIキーにアクセスすることができました。 セキュリティ研究者によると、特にアマゾンウェブサービスのクレデンシャルへのパブリックアクセスは大きな影響を及ぼした可能性があります。
これらのクレデンシャルは、SEGAEuropeのAWSS3バケットへの読み取りおよび書き込みアクセスを提供しました。 マルウェアをアップロードし、会社のXNUMXつのパブリックドメインでコンテンツを変更することが可能でした。 Downloads.sega.com、cdn.sega.com、bayonetta.comなどが重大な脆弱性でした。
取得したAWSクレデンシャルを使用して、研究者は次のことができました。 scan さらにアクセスするためのSEGAのオンラインストレージ環境。 研究者は18月XNUMX日に最初の脆弱性を発見しました。彼らは、XNUMX月下旬に最新の脆弱性を修正したSEGAEuropeと調査結果を共有しました。