E-mails og krypterede adgangskoder til Albion Online-forumbrugere blev stjålet

Albion Online, et relativt populært online massivt multiplayer online RPG, led et databrud i slutningen af oktober. Sandbox Interactive, spillets tyske udvikler, meddelte overtrædelsen den 17. oktober. Spillets udvikler informerede alle berørte brugere via e-mail samt et forumindlæg.

Den dårlige skuespiller, der var involveret i angrebet, fik adgang til profilerne for Albion-forumbrugere, som inkluderede brugernes e-mails, der blev brugt i forumregistreringen. Hackerne fik også fat i adgangskoder, der heldigvis blev hashet og saltet. Adgangskodestrengene blev krypteret ved hjælp af Bcrypt og saltet yderligere ved hjælp af tilfældighed for at gøre dekryptering vanskeligere.

Albions udvikler erklærede, at de stjålne adgangskoder ikke kan bruges til at logge ind på hverken spillets klient eller forum. Det eneste mulige problem, som Sandbox ser med adgangskodegreb, er, at dataene kunne udnyttes til at vise brugere, der brugte adgangskoder, der er meget svage. Det er klart, at hvis en adgangskode blev genbrugt til både forumregistreringen og spillets klientlogin, er der en meget alvorlig risiko for kontoovertagelse.

Sårbarhed i forumsoftware opdateret efter overtrædelse

Sandbox Interactive erklærede, at angrebet misbrugte en sårbarhed i forumsoftwaren, de bruger til Albion, kaldet WoltLab Suite. Sikkerhedsmanglen er siden blevet patchet af WoltLabs udvikler.

Den dårlige skuespiller, der mente, at han var ansvarlig for angrebet, havde lagt en annonce på et hackerforum, hvor han forsøgte at sælge påståede data inklusive betalingsdatabasedumps, men posten er siden blevet fjernet. I betragtning af de oplysninger, der er leveret af Albions udviklere, er det meget sandsynligt, at stillingen var et forsøg på at overdrive den dårlige skuespillers præstationer og bounty.

Albion er et gratis spil, som næsten altid betyder et stort publikum. Virksomhedens egne tal viser over 2,5 millioner spillere på tværs af Windows, Mac, Linux og mobile enheder. Det brudte forum har næsten 300 tusind brugere.

October 22, 2020

Efterlad et Svar