De AWS-inloggegevens van SEGA Europe waren tot voor kort publiekelijk beschikbaar, waardoor aanvallers onder andere malware konden verspreiden via de gamingwebsites van het bedrijf. De kwetsbaarheden zijn verholpen.
Onderzoekers van SEGA Europe wisten toegang te krijgen tot onder meer de Steam-ontwikkelaarssleutel, database- en forumwachtwoorden en de API-sleutel van MailChimp. Vooral de publieke toegang tot de inloggegevens voor Amazon Web Services zou een grote impact kunnen hebben gehad, aldus beveiligingsonderzoeker.
Deze inloggegevens boden lees- en schrijftoegang tot de AWS S3-buckets van SEGA Europe. Het was mogelijk om malware te uploaden en inhoud aan te passen op negen van de openbare domeinen van het bedrijf. Onder andere Downloads.sega.com, cdn.sega.com en bayonetta.com waren kritieke kwetsbaarheden.
Met de verkregen AWS-referenties konden de onderzoekers: scan SEGA's online opslagomgeving voor verdere toegang. De onderzoekers ontdekten op 18 oktober de eerste kwetsbaarheden. Ze deelden hun bevindingen met SEGA Europe, die eind oktober de laatste kwetsbaarheden heeft verholpen.