Magic: the Gathering, une faille expose 452 000 comptes

Benoît Théry
Publié le 19 novembre 2019 à 16h17
Magic The Gathering

L'éditeur de jeux vidéo Wizards of the Coast, à l'origine du célèbre Magic: The Gathering a confirmé qu'une faille dans sa sécurité a rendu publiques les données de 452 000 joueurs.

Interrogé par le site TechCrunch, Bruce Dugan, le porte-parole de l'entreprise a déclaré : « Nous pensons qu'il s'agissait d'un incident isolé, et nous n'avons aucune raison de croire qu'un usage malveillant ait été fait de ces données ». Aucune preuve de cette affirmation n'a cependant
été apportée, souligne le site.

Même le personnel est touché

Pour être précis, les informations de 452 634 comptes ont été dévoilées. La base de données rendue publique comprenait les noms et pseudonymes des joueurs, leurs adresses e-mail ainsi que l'heure et la date de création du compte. Les mots de passe étaient également accessibles, mais dans un certain niveau de chiffrement, rendant leur utilisation difficile - mais pas impossible. Parmi les milliers de comptes dévoilés, 470 adresses e-mail appartiennent au personnel de l'éditeur. Les comptes touchés les plus anciens remonteraient au moins à 2012, les plus récents datant de mi-2018.

La faille, elle, proviendrait d'une simple erreur de stockage. Un fichier de sauvegarde de la base de données aurait été enregistré, au début du mois de septembre, sur un espace de stockage en ligne d'Amazon Web Services. Cet espace ne demandait cependant aucun mot de passe, le rendant accessible à tous. C'est une société britannique spécialisée dans la cybersécurité, Fidus Information Security, qui a détecté ce manquement.

Wizards appelle ses joueurs à la prudence

Au sujet de la faille, Bruce Dugan explique : « Nous avons appris qu'un fichier de base de données issu d'un site web désaffecté avait été, par inadvertance, rendu accessible à l'extérieur de l'entreprise. Nous avons retiré ce fichier et ouvert une enquête pour déterminer l'étendue de l'incident ». Il ajoute que « par mesure de précaution, nous avons contacté les joueurs dont les informations étaient accessibles dans la base de données, les incitant à réinitialiser leurs mots de passe ».

L'éditeur, qui est américain, a également annoncé avoir contacté les autorités britanniques. Si le droit européen devait être appliqué (le tout nouveau Règlement Général sur la Protection des Données en l'occurrence), Wizards of the Coast pourrait perdre jusqu'à 4 % de son chiffre d'affaires global.

Le directeur en recherche et développement de Fidus Information Security, Harriet Lester, a déclaré : « Il est surprenant que, de nos jours, de mauvaises configurations et des défauts de sécurité basiques continuent d'exister à cette échelle, en particulier lorsque l'on parle de compagnies aux bases de données portant sur plus de 450 000 comptes ». Une mauvaise publicité pour l'éditeur, qui s'apprête à adapter son univers sur Netflix.

Source : TechCrunch
Vous êtes un utilisateur de Google Actualités ou de WhatsApp ?
Suivez-nous pour ne rien rater de l'actu tech !
Commentaires (0)
Rejoignez la communauté Clubic
Rejoignez la communauté des passionnés de nouvelles technologies. Venez partager votre passion et débattre de l’actualité avec nos membres qui s’entraident et partagent leur expertise quotidiennement.
Commentaires (3)
Vanilla

Qu’est ce que vient faire le royaume uni dans cette histoire ? Et pourquoi une entreprise AMÉRICAINE serait soumis au RGPD à cause des britanniques??

Il y a de plus de forte chances que le serveur Amazon web service en question soit localisé lui aussi aux États Unis.

Alors soit l’article est mal traduit quelque part et vous avez oublié quelques informations essentielles dans cette histoire, soit quelqu’un a oublié que wizard of the coast c’est américain et pas britannique…

Sinic

Ce n’est pas clair. Comme dit dans l’article, l’éditeur a contacté les autorités britanniques. Mais la source n’explique pas pourquoi ce serait le droit européen qui s’appliquerait. TechCrunch sous-entend que parce qu’il a confirmé la faille aux autorités britanniques, c’est le droit européen qui s’applique. Mais ce n’est pas clairement dit.

EDIT : Les autres sources que je trouve ne confirment pas ce point. Je vais le reformuler pour le mettre au conditionnel.

latarrask

Le RGPD s’applique dès qu’on collecte des données de citoyens européens.

Par contre je croix pas qu’il y ai d’amande en cas de vol de données mais uniquement si le règlement n’est pas respecté.

Abonnez-vous à notre newsletter !

Recevez un résumé quotidien de l'actu technologique.

Désinscrivez-vous via le lien de désinscription présent sur nos newsletters ou écrivez à : [email protected]. en savoir plus sur le traitement de données personnelles