E-postmeddelanden och krypterade lösenord för Albion Online-forumanvändare stal
Albion Online, ett relativt populärt online-massivt multiplayer online-RPG, drabbades av dataintrång i slutet av oktober. Sandbox Interactive, spelets tyska utvecklare, meddelade överträdelsen den 17 oktober. Spelets utvecklare informerade alla berörda användare via e-post samt ett foruminlägg.
Den dåliga skådespelaren som var inblandad i attacken lyckades komma åt profilerna för Albion-forumanvändare, som inkluderade användarnas e-postmeddelanden som användes i forumregistreringen. Hackarna fick också tag på lösenord som tack och lov hashades och saltades. Lösenordssträngarna krypterades med Bcrypt och saltades vidare med slumpmässighet för att göra dekryptering svårare.
Albions utvecklare uppgav att de stulna lösenorden inte kan användas för att logga in på varken spelets klient eller forumet. Det enda potentiella problemet som Sandbox ser med lösenordsupptagningen är att data kan utnyttjas för att visa användare som använde lösenord som är mycket svaga. Det är uppenbart att om ett lösenord återanvänds för både forumregistreringen och spelets klientinloggning finns det en mycket allvarlig risk för kontoövertagande.
Forumets sårbarhet korrigerad efter intrång
Sandbox Interactive uppgav att attacken missbrukade en sårbarhet i forumprogramvaran de använder för Albion, kallad WoltLab Suite. Säkerhetshålet har sedan dess lappats av WoltLabs utvecklare.
Den dåliga skådespelaren trodde vara ansvarig för attacken hade lagt upp en annons på ett hackerforum, där han försökte sälja påstådda uppgifter inklusive betalningsdatabasdumpar, men inlägget har sedan tagits bort. Med tanke på informationen från Albions utvecklare är det mycket troligt att inlägget var ett försök att överdriva den dåliga skådespelarens prestationer och bounty.
Albion är ett gratis spel, vilket nästan alltid betyder en stor publik. Företagets egna siffror listar över 2,5 miljoner spelare över Windows, Mac, Linux och mobila enheter. Det trasiga forumet har nästan 300 tusen användare.