Leak von Hunderttausenden Spielerkonten bei "Magic: The Gathering"
Ein frei zugängliches Datenbank-Backup hat über 450.000 Nutzerkonten eines Online-Kartensammelspiels exponiert. Auch gehashte Passwörter waren dabei.
Beim Hersteller des Sammelkartenspiels "Magic: The Gathering" hat es einen großen Leak von Nutzerdaten der Onlineversion des Spiels (mit dem Zusatz "Arena") gegeben: Die Entwicklerfirma Wizards of the Coast ließ ein Datenbank-Backup ungeschützt und frei zugänglich in der Cloud liegen. Darin enthalten waren mehr als 452.000 Benutzerkonten des Online-Spiels samt E-Mail-Adressen und gehashten Passwörtern, schreibt TechCrunch.
Ungeschütztes Datenbank-Backup in öffentlichem Bucket
Die britische Cybersecurity-Firma Fidus Information Security entdeckte laut dem Bericht von TechCrunch das Datenbank-Backup in einem öffentlichen Amazon Web Services Storage-Bucket. Da der Bucket selbst nicht mit einem Passwort geschützt war, waren die darin enthaltenen Dateien frei zugänglich. Die Entdecker vermuten, dass die Datei seit ungefähr Mitte September dort verfügbar war – also etwa zu der Zeit, als die Windows-Version des Spiels "Magic: The Gathering Arena" herauskam, eine neu aufgelegte digitale Version des Sammelkartenspiels "Magic: The Gathering" von 1993. In der Datenbank fand Fidus 452.634 Nutzerkonten des Spiels. Davon sollen 470 Konten E-Mail-Adressen des Spieleentwicklers aufweisen.
Die Konteninformationen umfassen demnach Namen der Spieler, Usernamen, E-Mail-Adresse, Datum und Uhrzeit der Kontoerstellung sowie Passwörter, diese allerdings gehasht und gesalzen. Das macht eine Entschlüsselung schwierig, aber nicht unmöglich. Kein Teil der enthaltenen Informationen war verschlüsselt. Die Nutzerkonten reichen bis 2012 zurück, neuere Einträge datieren von Mitte 2018. Bereits zuvor gab es Computerspielversionen des Kartenspiels, etwa unter der Bezeichnung "Magic: The Gathering Online".
"Einzelfall" – dennoch Passwortänderung nötig
Gegenüber TechCrunch bestätigte das Entwicklerunternehmen den Leak. Ein Sprecher von Wizards of the Coast sagte, man habe irrtümlich die Datenbank einer nicht mehr genutzten Website zugänglich gemacht und die Daten inzwischen entfernt. Das Unternehmen halte das für einen Einzelfall und sehe keinen Grund anzunehmen, dass die Daten zu missbräuchlichen Zwecken verwendet wurden – Anhaltspunkte dafür nannte der Sprecher nicht.
Das Unternehmen wolle jedoch als Vorsichtsmaßnahme die betroffenen Spieler informieren und eine Passwortänderung im derzeit genutzten System verlangen. Außerdem habe das Unternehmen die britische Datenschutzbehörde informiert, da der Vorfall laut der Europäischen Datenschutzgrundverordnung meldepflichtig sei. (tiw)