Stando a un resoconto della compagnia VPN Overview, che si occupa di sicurezza informatica, Sega ha lasciato aperto un server, con il rischio che circa 250.000 account dei suoi utenti fossero rubati da qualche malintenzionato. Ora sembra che la falla sia stata chiusa, ma il problema di fondo rimane.
L'Amazon Web Services S3 aveva degli errori di configurazione che davano accesso a informazioni sensibili e avrebbero potuto consentire a utenti malintenzionati di caricare dati su diversi domini di Sega, oltre a dar loro accesso a un elenco di 250.000 email circa.
I domini coinvolti riguardavano alcuni dei franchise di punta di Sega, inclusi Sonic the Hedgehog, Bayonetta e Total War, oltre a Sega.com stesso. VPNO è stata in grado di avviare senza problemi degli script eseguibili su questi siti, ovviamente non nocivi. Immaginate però cosa avrebbero potuto fare degli hacker che avessero scoperto la falla.
A dare accesso all'elenco delle email era la chiave di una API Mailchimp mal conservata. Le email mostravano il testo, nonché gli indirizzi IP associati e le password. Secondo VPNO, chiunque avrebbe potuto distribuire del ransomware in modo efficacissimo usando le email di Sega e i servizi cloud.
Fortunatamente pare che VPNO sia stata la prima a scoprire il problema, aiutando poi Sega a sistemarlo, e che nessun malintenzionato abbia avuto accesso al server. La multinazionale giapponese di suo non ha commentato l'accaduto.