SEGA Europe의 AWS 자격 증명은 최근까지 공개적으로 사용 가능하여 공격자가 회사의 게임 웹사이트 등을 통해 맬웨어를 퍼뜨릴 수 있었습니다. 취약점이 패치되었습니다.
SEGA Europe의 연구원들은 무엇보다도 Steam 개발자 키, 데이터베이스 및 포럼 암호, MailChimp의 API 키에 액세스할 수 있었습니다. 보안 연구원에 따르면 특히 Amazon Web Services의 자격 증명에 대한 공개 액세스는 큰 영향을 미쳤을 수 있습니다.
이러한 자격 증명은 SEGA Europe의 AWS S3 버킷에 대한 읽기 및 쓰기 액세스 권한을 제공했습니다. 회사의 공개 도메인 중 XNUMX곳에서 맬웨어를 업로드하고 콘텐츠를 수정할 수 있었습니다. Downloads.sega.com, cdn.sega.com 및 bayonetta.com은 치명적인 취약점이었습니다.
획득한 AWS 자격 증명으로 연구원들은 다음을 수행할 수 있었습니다. scan 추가 액세스를 위한 SEGA의 온라인 스토리지 환경. 연구원들은 18월 XNUMX일에 첫 번째 취약점을 발견했습니다. 그들은 XNUMX월 말에 최신 취약점을 수정한 SEGA Europe과 연구 결과를 공유했습니다.