SEGA Europes AWS-legitimasjon var offentlig tilgjengelig inntil nylig, noe som gjorde det mulig for angripere å spre skadevare blant annet gjennom selskapets spillnettsteder. Sårbarhetene er rettet.
Forskere ved SEGA Europe klarte å få tilgang til blant annet Steam-utviklernøkkelen, database- og forumpassord og API-nøkkelen til MailChimp. Spesielt offentlig tilgang til legitimasjonen for Amazon Web Services kunne ha hatt stor innvirkning, ifølge sikkerhetsforsker.
Disse legitimasjonene ga lese- og skrivetilgang til SEGA Europes AWS S3-bøtter. Det var mulig å laste opp skadelig programvare og endre innhold på ni av selskapets offentlige domener. Downloads.sega.com, cdn.sega.com og bayonetta.com, blant andre, var kritiske sårbarheter.
Med den innhentede AWS-legitimasjonen var forskerne i stand til det scan SEGAs nettbaserte lagringsmiljø for videre tilgang. Forskerne fant de første sårbarhetene 18. oktober. De delte funnene sine med SEGA Europe, som fikset de siste sårbarhetene i slutten av oktober.