Buvo pavogti „Albion Online“ forumo vartotojų el. Laiškai ir užšifruoti slaptažodžiai
Spalio pabaigoje „Albion Online“, palyginti populiarus internetinis daugelio žaidėjų internetinis RPG, patyrė duomenų pažeidimą. Vokietijos žaidimo kūrėjas „Sandbox Interactive“ spalio 17 d. Paskelbė apie pažeidimą. Žaidimo kūrėjas informavo visus paveiktus vartotojus el. Paštu ir forumo pranešimu.
Blogas išpuolio dalyvis sugebėjo pasiekti „Albion“ forumo vartotojų profilius, į kuriuos buvo įtraukti vartotojų el. Laiškai, naudojami forumo registracijoje. Įsilaužėliai taip pat gavo slaptažodžius, kurie, laimei, buvo maišomi ir sūdomi. Slaptažodžio eilutės buvo užšifruotos naudojant „Bcrypt“ ir toliau sūdytos naudojant atsitiktinumą, kad iššifravimas būtų sunkesnis.
„Albion“ kūrėjas teigė, kad pavogtų slaptažodžių negalima naudoti prisijungiant nei prie žaidimo kliento, nei prie forumo. Vienintelė potenciali problema, kurią „Sandbox“ mato su slaptažodžių paėmimu, yra ta, kad duomenis galima panaudoti norint parodyti vartotojams, kurie naudojo labai silpnus slaptažodžius. Akivaizdu, kad jei slaptažodis buvo pakartotinai naudojamas registruojant forumą ir prisijungiant prie žaidimo kliento, yra labai rimta paskyros perėmimo rizika.
Forumo programinės įrangos pažeidžiamumas pataisytas po pažeidimo
„Sandbox Interactive“ teigė, kad ataka piktnaudžiavo forumo programinės įrangos, kurią jie naudoja „Albion“, vadinamąja „WoltLab Suite“, spraga. Nuo tada saugumo spragą užtaisė „WoltLab“ kūrėjas.
Blogas aktorius, kuris, manoma, buvo atsakingas už išpuolį, paskelbė įsilaužėlių forume skelbimą, bandydamas parduoti tariamus duomenis, įskaitant mokėjimų duomenų bazių sąvartynus, tačiau įrašas nuo to laiko buvo pašalintas. Atsižvelgiant į „Albion“ kūrėjų pateiktą informaciją, labai tikėtina, kad įrašu buvo bandoma perdėti blogo aktoriaus pasiekimus ir apdovanojimus.
„Albion“ yra nemokamas žaidimas, kuris beveik visada reiškia didelę auditoriją. Pačios įmonės duomenys rodo daugiau nei 2,5 milijono žaidėjų visose „Windows“, „Mac“, „Linux“ ir mobiliuosiuose įrenginiuose. Pažeistas forumas turi beveik 300 tūkstančių vartotojų.