據安全研究中心 VPN Overview 的發現,世嘉其中一個位於歐洲的伺服器因為 Amazon Web Services S3 簡易儲存服務的設定有誤,讓駭客可以任意上載檔案到世嘉域名的網站,其中更涉及 25 萬名使用者的電郵資料。
所謂的 SEGA 域名,是包括了眾多著名遊戲的官方網站,像是《音速小子》、《魔兵驚天錄》、《全軍破敵》等系列遊戲,當然也有 sega.com 在內的。VPNO 表示他們可以在這些網站裡執行任何的指令。同時不當儲存的 MailchimpAPI 密匙,就能讓 VPNO 查看到受影響使用者的登入電郵、密碼、IP 地址,帶來極大的資安風險。
幸好目前沒有證據顯示世嘉伺服器的漏洞有被 VPNO 以外的第三方發現,而 SEGA 歐洲就沒有回應查詢。
是說,Services S3 簡易儲存服務的設定是蠻經常出現錯誤設定,Sennheiser、Senior Advisor、PeopleGIS,甚至是加納政府的網站也曾經發生過。至於 SEGA 自身更是曾經在 2011 年時就曾成為 130 萬名使用者資料外泄的源頭,現在再有網路安全隱患的出現,實在叫人擔心。