SEGA, как обнаружил программист Аарон Филлипс, оставила открытым доступ к S3-хранилищу, в котором содержались ключи к Steam API и MailChimp, RSA-ключи, данные для входа в иные веб-сервисы Amazon. Это позволило, среди прочего, менять данные и запускать пользовательские скрипты на 26 сайтах европейского отдела компании, в том числе на главном домене SEGA, сайтах Total War, Company of Heroes, Vanquish, Football Manager, Sonic the Hedgehog и Bayonetta.
уязвимость первыми обнаружили не хакеры, а специалисты по кибербезопасностиЧудо новогоднее
Комментарий недоступен
Аарон Филлипс нашёл уязвимость 18 октября
Хакеры, которые первыми обнаружили доступ, просто об этом не сообщили.
Это ж как надо умудриться, чтобы оставить такую дыру? В AWS все сделано для максимальной безопасности. Чтобы сделать бакет S3 и его содержимое открытым это нужно целенаправленно сделать десяток действий... Видимо кто-то целенаправленно это сделал, либо какому-то сисадмину надоело пользователей к группам подкреплять и он решил авось никто не заметит
Скорее, второе)
При кривом обновлении софта мб могут слететь настройки?
Будто ты ни разу не слышал, как ключи от АВС утекают вместе с кодом на какой-нибудь гитхаб т.к сотрудникам просто лень было вынести их в переменные среды.
Есть даже отдельные службы типа git guardian, которые специализируются на случайных утечках креденшиалз.