《万智牌：竞技场》游戏开发商操作不当 愈45万玩家数据遭泄露

概述

日前《Magic：The Gathering》的制造商已经确认，由于操作不当和安全漏洞导致数十万游戏玩家的数据暴露。

Magic：The Gathering游戏由知名卡牌游戏商华盛顿的威世智（又名，海岸奇才Wizards of Coast）开发，是世界上最早的TCG游戏，游戏机制历久弥新地好玩，总算有机会入坑万智牌。秘稀卡牌入场效果和画面素质都很棒，游戏的大画卡也非常好看。系列游戏中最新版的《万智牌：竞技场》已经由腾讯游戏获得代理。

问题

威世智由于不当操作将其数据库备份文件误存在了公共的Amazon Web Services云服务的S3存储中。但是该存储存未设置密码，使得任何人都可以访问其中的文件。据悉该数据库文件自9月初以来，已经对外暴露已经长达2个多月，后被英国网络安全公司Fidus Information Security发现。

根据对数据库文件的检查，有452634个玩家信息，也包括与W该公司员工相关的大约470个电子邮件地址。该数据库中的信息包括了玩家名称和用户名，电子邮件地址，以及帐户创建的日期和时间。数据库还保存有用户密码字段，幸运的是这些密码经过加盐的哈希加密处理，没有直接泄露，但是不排除别有用心人可以通过构造彩虹表等方式予以解密。根据对数据排查，这些账户的创建日期至少可以追溯到2012年，但是一些最近的条目更新时间可追溯到2018年中期。

Fidus公司曾想向威世智发出警告，但是一直未被回应，直到最近他们才下线了AWS上存储的数据文件。

威世智发言人布鲁斯·杜根（Bruce Dugan）在一份声明中表示："我们了解到，退役网站上的数据库文件被无意间从公司外部访问了。"

他说："我们从服务器上删除了数据库文件，并开始了调查以确定事件的范围。" "我们认为这是一起孤立事件，我们没有理由相信有人对数据进行了任何恶意使用，"但是发言人没有提供任何证据证明这一说法。

他同时表示："但是，出于谨慎考虑，我们会通知玩家其信息已包含在数据库中，并要求他们在我们当前的系统上重置密码。"

Fidus研发总监Harriet Lester表示，在当今时代，错误的配置和缺乏基本的安全策略仍然令人感到惊讶，尤其是当涉及到拥有超过45万帐户用户的大型公司时。

Fidus的研究团队将不断工作，寻找诸如此类的错误配置，以尽快提醒公司，避免数据落入不正确的人手中，以帮助互联网企业更安全。

威世智表示，已根据欧洲GDPR法规的违规通知规则将有关暴露情况通知了英国数据保护部门。英国信息专员办公室没有立即返回电子邮件以确认披露。根据欧盟GDPR相关的规定，对于违反GDPR的公司，最高可处以其年营业额4%的罚款。