Magic: the Gathering, une faille expose 452 000 comptes

19 novembre 2019 à 16h17
3
Magic The Gathering

L'éditeur de jeux vidéo Wizards of the Coast, à l'origine du célèbre Magic: The Gathering a confirmé qu'une faille dans sa sécurité a rendu publiques les données de 452 000 joueurs.

Interrogé par le site TechCrunch, Bruce Dugan, le porte-parole de l'entreprise a déclaré : « Nous pensons qu'il s'agissait d'un incident isolé, et nous n'avons aucune raison de croire qu'un usage malveillant ait été fait de ces données ». Aucune preuve de cette affirmation n'a cependant
été apportée, souligne le site.

Même le personnel est touché

Pour être précis, les informations de 452 634 comptes ont été dévoilées. La base de données rendue publique comprenait les noms et pseudonymes des joueurs, leurs adresses e-mail ainsi que l'heure et la date de création du compte. Les mots de passe étaient également accessibles, mais dans un certain niveau de chiffrement, rendant leur utilisation difficile - mais pas impossible. Parmi les milliers de comptes dévoilés, 470 adresses e-mail appartiennent au personnel de l'éditeur. Les comptes touchés les plus anciens remonteraient au moins à 2012, les plus récents datant de mi-2018.

La faille, elle, proviendrait d'une simple erreur de stockage. Un fichier de sauvegarde de la base de données aurait été enregistré, au début du mois de septembre, sur un espace de stockage en ligne d'Amazon Web Services. Cet espace ne demandait cependant aucun mot de passe, le rendant accessible à tous. C'est une société britannique spécialisée dans la cybersécurité, Fidus Information Security, qui a détecté ce manquement.

Wizards appelle ses joueurs à la prudence

Au sujet de la faille, Bruce Dugan explique : « Nous avons appris qu'un fichier de base de données issu d'un site web désaffecté avait été, par inadvertance, rendu accessible à l'extérieur de l'entreprise. Nous avons retiré ce fichier et ouvert une enquête pour déterminer l'étendue de l'incident ». Il ajoute que « par mesure de précaution, nous avons contacté les joueurs dont les informations étaient accessibles dans la base de données, les incitant à réinitialiser leurs mots de passe ».

L'éditeur, qui est américain, a également annoncé avoir contacté les autorités britanniques. Si le droit européen devait être appliqué (le tout nouveau Règlement Général sur la Protection des Données en l'occurrence), Wizards of the Coast pourrait perdre jusqu'à 4 % de son chiffre d'affaires global.

Le directeur en recherche et développement de Fidus Information Security, Harriet Lester, a déclaré : « Il est surprenant que, de nos jours, de mauvaises configurations et des défauts de sécurité basiques continuent d'exister à cette échelle, en particulier lorsque l'on parle de compagnies aux bases de données portant sur plus de 450 000 comptes ». Une mauvaise publicité pour l'éditeur, qui s'apprête à adapter son univers sur Netflix.

Source : TechCrunch
Soyez toujours courtois dans vos commentaires.
Respectez le réglement de la communauté.
3
3
Vanilla
Qu’est ce que vient faire le royaume uni dans cette histoire ? Et pourquoi une entreprise AMÉRICAINE serait soumis au RGPD à cause des britanniques??<br /> Il y a de plus de forte chances que le serveur Amazon web service en question soit localisé lui aussi aux États Unis.<br /> Alors soit l’article est mal traduit quelque part et vous avez oublié quelques informations essentielles dans cette histoire, soit quelqu’un a oublié que wizard of the coast c’est américain et pas britannique…
Sinic
Ce n’est pas clair. Comme dit dans l’article, l’éditeur a contacté les autorités britanniques. Mais la source n’explique pas pourquoi ce serait le droit européen qui s’appliquerait. TechCrunch sous-entend que parce qu’il a confirmé la faille aux autorités britanniques, c’est le droit européen qui s’applique. Mais ce n’est pas clairement dit.<br /> EDIT : Les autres sources que je trouve ne confirment pas ce point. Je vais le reformuler pour le mettre au conditionnel.
latarrask
Le RGPD s’applique dès qu’on collecte des données de citoyens européens.<br /> Par contre je croix pas qu’il y ai d’amande en cas de vol de données mais uniquement si le règlement n’est pas respecté.
Voir tous les messages sur le forum

Actualités du moment

Intel en dit plus sur ses cartes graphiques Xe et leur architecture
L'ARCEP publie son baromètre de la transition vers l'IPv6 (et ce n'est pas fameux)
Les Huawei Mate X ont été en vente en Chine durant quelques minutes
Profitez de 4 mois d'Amazon Music Unlimited pour seulement 0,99€
Recalbox à la Maker Faire Paris et version 6.1.1 disponible
Stadia : tout ce que vous devez savoir avant le lancement de la plateforme, demain
Samsung Galaxy S11 : vers de la vidéo en 8K ?
Volkswagen : 60 milliards d'euros d'investissement et 75 voitures électriques pour 2029
Vous pouvez maintenant contrôler votre Xbox One via Google Assistant
Stadia se lancera (finalement) avec 22 jeux dont NBA 2K, Grid 2019 et Final Fantasy XV
Haut de page