Lubisz gry karciane? Twoje dane mogły trafić do sieci razem z danymi blisko 500 tysięcy fanów Magic: The Gathering

Przed weekendem do sieci trafiła informacja o olbrzymim wycieku danych fanów popularnej gry karcianej Magic: The Gathering. Jego źródłem miała być niepoprawna konfiguracja serwera właściciela marki, firmy Wizards of the Coast. Na skutek błędu w niepowołane ręce mogły wpaść informacje o 452 tysiącach graczy. Tego i podobnych incydentów można był w stosunkowo łatwy sposób uniknąć.

O wycieku danych poinformowali badacze bezpieczeństwa z firmy Fidus. Zlokalizowali oni niezabezpieczony plik backupu bazy danych użytkowników, umieszczony na dostępnym publicznie serwerze Amazon Web Services. Dokument miał być dostępny mniej więcej od połowy września oraz zawierać dane 452 634 fanów gry karcianej Magic: The Gathering, posiadających konto w usłudze prowadzonej przez właściciela gry, firmę Wizards of the Coast. Dane, które można znaleźć w pliku, obejmują m.in. imiona i nazwiska, adresy e-mail, a także zhashowane i zabezpieczone specjalnym algorytmem (tzw. „solą”) hasła, a więc przechowywane w formie, w której ich złamanie, choć utrudnione, nie jest niemożliwe.

W oficjalnej odpowiedzi dla serwisu TechCrunch przedstawiciele firmy Wizards of the Coast przyznali, że takie zdarzenie faktycznie miało miejsce i trwa wewnętrzne śledztwo, mające na celu ustalić jego skalę i przyczyny. Zdaniem spółki wszystko wskazuje, że jest to jednorazowy incydent, a dane nie wpadły w ręce przestępców, jednak z ostrożności do użytkowników zostały wysłane wiadomości zalecające zmianę hasła. Firma miała także poinformować o całym zajściu brytyjski urząd ochrony danych osobowych, do czego jest zobowiązana na mocy przepisów RODO.

Sytuacje podobne do opisywanej, kiedy dochodzi do wycieku danych osobowych na skutek błędnej konfiguracji środowiska sieciowego w firmie, to bardzo częsty scenariusz, którego stosunkowo łatwo uniknąć. Wystarczy przeprowadzić audyt, który wykaże nieprawidłowości w sposobie przechowywania i przetwarzania wspomnianych danych. W wielu przypadkach wbrew pozorom wcale nie trzeba do tego usług zewnętrznej organizacji, a wystarczą zautomatyzowane narzędzia, takie jak wbudowany w rozwiązania Safetica moduł audytor.

Co powinni zrobić gracze?

Gracze posiadający swoje konto w usłudze Wizards of the Coast powinni przede wszystkim jak najszybciej zmienić hasło na tej i innych witrynach, na których je wykorzystywali. Na przyszłość warto także pamiętać o podstawowych zasadach higieny haseł, w tym o tym, by regularnie je zmieniać i nie wykorzystywać na kilku stronach tego samego zestawu poświadczeń. Stosowanie się do tych prostych reguł gwarantuje, że nawet jeśli hakerzy zdobędą dostęp do danych logowania do danego portalu lub usługi, nie będą w stanie wyrządzić z ich pomocą dużych szkód.