Αυτό που θα μπορούσε να ήταν μια επιζήμια παραβίαση σε έναν από τους διακομιστές της Sega φαίνεται να έχει κλείσει, σύμφωνα με έκθεση της εταιρείας ασφαλείας VPN Overview. Ο εσφαλμένος κάδος Amazon Web Services S3 περιείχε ευαίσθητες πληροφορίες που επέτρεπαν στους ερευνητές να ανεβάζουν αυθαίρετα αρχεία σε μια τεράστια δέσμη τομέων που ανήκουν στη Sega, καθώς και διαπιστευτήρια για κατάχρηση μιας λίστας email 250.000 χρηστών.

Οι τομείς που επηρεάστηκαν περιελάμβαναν τις επίσημες σελίδες προορισμού για μεγάλα franchise, συμπεριλαμβανομένων των Sonic the Hedgehog, Bayonetta και Total War, καθώς και τον ίδιο τον ιστότοπο Sega.com. Το VPNO μπόρεσε να εκτελέσει εκτελέσιμα σενάρια σε αυτούς τους ιστότοπους, τα οποία, όπως μπορείτε να φανταστείτε, θα ήταν πολύ άσχημα αν αυτή η παραβίαση είχε ανακαλυφθεί από κακόβουλους παράγοντες αντί από ερευνητές. 

Ένα ακατάλληλα αποθηκευμένο κλειδί API του Mailchimp έδωσε στο VPNO πρόσβαση στην προαναφερθείσα λίστα email. Τα ίδια τα email ήταν διαθέσιμα σε απλό κείμενο μαζί με τις συσχετισμένες διευθύνσεις IP και τους κωδικούς πρόσβασης που οι ερευνητές κατάφεραν να καταργήσουν. Σύμφωνα με την έκθεση, «ένας κακόβουλος χρήστης θα μπορούσε να έχει διανείμει πολύ αποτελεσματικά ransomware χρησιμοποιώντας τις παραβιασμένες υπηρεσίες email και cloud της SEGA».

Μέχρι στιγμής δεν υπάρχει καμία ένδειξη ότι κακοί hackers έκαναν χρήση αυτής της ευπάθειας πριν το VPNO ανακαλύψει και βοηθήσει τη Sega να το διορθώσει. Η Sega Europe δεν ήταν διαθέσιμη για σχόλιο.

Οι λανθασμένοι κάδοι S3 είναι, δυστυχώς, ένα εξαιρετικά κοινό πρόβλημα στην ασφάλεια πληροφοριών. Παρόμοια σφάλματα φέτος επηρέασαν την εταιρεία ήχου Sennheiser, Senior Advisor, PeopleGIS και την κυβέρνηση της Γκάνας. Η Sega ήταν στόχος μιας μεγάλης επίθεσης το 2011, η οποία οδήγησε στη διείσδυση στοιχείων προσωπικής ταυτοποίησης που αφορούσαν 1,3 εκατομμύρια χρήστες. Ευτυχώς, αυτός ο εσφαλμένος ευρωπαϊκός διακομιστής δεν οδήγησε σε παρόμοιο περιστατικό.