E-maile i zaszyfrowane hasła użytkowników forum Albion Online zostały skradzione

Albion Online, stosunkowo popularna internetowa gra RPG dla wielu graczy, doznała naruszenia bezpieczeństwa danych pod koniec października. Sandbox Interactive, niemiecki twórca gry, poinformował o naruszeniu 17 października. Deweloper gry poinformował wszystkich użytkowników, których dotyczy ten problem, za pośrednictwem poczty elektronicznej oraz posta na forum.

Zły aktor zaangażowany w atak zdołał uzyskać dostęp do profili użytkowników forum Albion, które obejmowały adresy e-mail użytkowników użyte podczas rejestracji na forum. Hakerzy zdobyli również hasła, które na szczęście zostały zaszyfrowane i zasolone. Ciągi haseł zostały zaszyfrowane za pomocą Bcrypt i dalej posolone przy użyciu losowości, aby utrudnić odszyfrowanie.

Deweloper Albionu stwierdził, że skradzionych haseł nie można używać do logowania się ani do klienta gry, ani do forum. Jedynym potencjalnym problemem, jaki Sandbox widzi podczas przechwytywania haseł, jest to, że dane mogą zostać wykorzystane do pokazania użytkownikom, którzy używali bardzo słabych haseł. Oczywiście, jeśli hasło zostało ponownie użyte zarówno do rejestracji na forum, jak i do logowania klienta gry, istnieje bardzo poważne ryzyko przejęcia konta.

Luka w zabezpieczeniach oprogramowania forum załatana po naruszeniu

Sandbox Interactive stwierdził, że atak wykorzystał lukę w oprogramowaniu forum, którego używają dla Albion, o nazwie WoltLab Suite. Luka w zabezpieczeniach została załatana przez programistę WoltLab.

Zły aktor, który uważał się za odpowiedzialnego za atak, zamieścił ogłoszenie na forum hakerów, próbując sprzedać rzekome dane, w tym zrzuty bazy danych płatności, ale od tego czasu post został usunięty. Biorąc pod uwagę informacje dostarczone przez twórców Albionu, jest bardzo prawdopodobne, że post był próbą wyolbrzymienia osiągnięć i nagród złego aktora.

Albion to darmowa gra, która prawie zawsze oznacza dużą publiczność. Dane firmy obejmują ponad 2,5 miliona graczy korzystających z systemów Windows, Mac, Linux i urządzeń mobilnych. Naruszone forum ma prawie 300 tysięcy użytkowników.