Les données utilisateurs de 452 000 comptes Magic: The Gathering en fuite
Wizards of the Coast annonce une avoir découvert une faille, un accident "isolé" selon l'éditeur.
Créateur de Magic: The Gathering, Donjons et Dragons et Avalon Hill, Wizards of the Coast est l’éditeur le plus important des jeux de heroic fantasy et de jeux de cartes à collectionner. Quand on est autant plongé dans le monde réel, on oublie un peu que les communautés se retrouvent également sur les forums en ligne (comme elles l’ont fait depuis les débuts d’Internet) et qu’elles dépendent donc de comptes utilisateurs. TechCrunch révélait récemment qu’une base de données laissée sur un serveur Amazon d’un site désormais non utilisé était accessible à tous, et contenait en clair les pseudonymes, adresses mail et dates d’inscription de 452 634 comptes ; les mots de passe étaient quant à eux chiffrés, mais pas suffisamment protégés pour qu’une personne mal intentionnée ne puisse les mettre à jour. En plus des joueurs, 470 comptes concernaient directement des employés de Wizards of the Coast.
Un incident isolé et de courte durée
Selon la société, l’incident reste isolé et les données n’ont pas été subtilisées ou utilisées à mauvais escient — sans que l’éditeur puisse apporter la preuve de ce qu’il avance. Il se peut tout à fait qu’une copie de la base de données ai été effectuée et que son contenu soit utilisé pour de l’email spoofing. La database était exposée depuis peu selon Fidus Information Security, la firme à l’origine de la découverte : mi-septembre tout au plus. Il est cependant recommandé aux inscrits de modifier le couple identifiant/mot de passe pour plus de sécurité.
Les utilisateurs inscrits en 2012 et 2018 concernés
Étant donné le grand nombre de comptes touchés, la faille concerne aussi bien les utilisateurs les plus anciens que les plus récents. Selon TechCrunch, les utilisateurs inscrits entre 2012 et mi-2018 pourraient être affectés. Conformément au règlement général sur la protection des données (RGPD), Wizards of the Coast a alerté les autorités britanniques, probablement car des utilisateurs émanent du Royaume-Uni — la raison n’est pas très claire. Les sanctions du RGPD peuvent chercher jusqu’à 4% du chiffre d’affaire annuel.