E-mails e senhas criptografadas de usuários do Albion Online Forum foram roubados
Albion Online, um RPG online massivamente multiplayer online relativamente popular, sofreu uma violação de dados no final de outubro. A Sandbox Interactive, a desenvolvedora alemã do jogo, anunciou a violação em 17 de outubro. O desenvolvedor do jogo informou todos os usuários afetados por e-mail e também por uma postagem no fórum.
O malfeitor envolvido no ataque conseguiu acessar os perfis dos usuários do fórum de Albion, que incluíam os e-mails dos usuários usados no registro do fórum. Os hackers também conseguiram senhas que felizmente foram hash e salgadas. As strings de senha foram criptografadas usando Bcrypt e ainda salgadas usando aleatoriedade para tornar a descriptografia mais difícil.
O desenvolvedor de Albion afirmou que as senhas roubadas não podem ser usadas para fazer login no cliente do jogo nem no fórum. O único problema potencial que o Sandbox vê com a captura de senha é que os dados podem ser explorados para mostrar aos usuários que usaram senhas muito fracas. Obviamente, se uma senha for reutilizada para o registro do fórum e para o login do cliente do jogo, existe um risco muito sério de invasão da conta.
Vulnerabilidade de software do fórum corrigida após violação
A Sandbox Interactive afirmou que o ataque abusou de uma vulnerabilidade no software do fórum que eles usam para Albion, chamado WoltLab Suite. A brecha de segurança já foi corrigida pelo desenvolvedor do WoltLab.
O malfeitor, considerado responsável pelo ataque, postou um anúncio em um fórum de hackers, tentando vender supostos dados, incluindo despejos de banco de dados de pagamento, mas a postagem já foi removida. Dadas as informações fornecidas pelos desenvolvedores de Albion, é muito provável que a postagem tenha sido uma tentativa de exagerar as conquistas e recompensas do mau ator.
Albion é um jogo gratuito, o que quase sempre significa um grande público. Os próprios números da empresa listam mais de 2,5 milhões de jogadores em Windows, Mac, Linux e dispositivos móveis. O fórum violado tem quase 300 mil usuários.