8:37
10/8/2012

Jak poinformował dzisiaj Blizzard, amerykański producent gier komputerowych (m.in. Diablo III oraz World of Warcraft), ktoś włamał się do jego sieci wewnętrznej i ukradł dane graczy. W samo tylko Diablo III aktywnie gra 10 milionów internautów…

Co wykradziono?

Battle.net Blizzard

Blizzard: wyciek danych z Battle.net

Z oficjalnego świadczenia firmy wynika, że atak wykryto 4 sierpnia, a w ramach śledztwa wykazano m.in. że włamywacze nie wykradli danych finansowych (tj. kart kredytowych, adresów pocztowych, imion, nazwisk graczy).
Wykradziono natomiast:

  • adresy e-mail użytkowników kont Battle.net (ze wszystkich regionów z wyjątkiem Chin).
  • odpowiedzi na osobiste pytanie bezpieczeństwa
  • informacje powiązane z uwierzytelniaczami komórkowymi Mobile, Dial-In, Phone-Lock, m.in. hashe numerów telefonów
  • “kryptograficznie przetworzony” zapis haseł do konta Battle.net
Według Blizzarda z europejskich serwerów wykradziono tylko e-maile i nic więcej. Reszta wykradzionych danych dotyczy rejonów Australia, Ameryka, Nowa Zelandia, Azja Południowo-Wschodnia. Chiny w ogóle nie ucierpiały.

Blizzard twierdzi, że powyższe informacje nie są wystarczające, aby ktokolwiek uzyskał dostęp do kont Battle.net. W przypadku przechowywania haseł jako hashy, doskonale wiemy, jak szybko da się je złamać — ale tu może być trudniej. Blizzard podaje, że do uwierzytelniania wykorzystuje protokół SRP — wykorzystanie SRP nie uniemożliwia uzyskania prawdziwych haseł użytkowników, ale proces deszyfracji czyni bardzo pracochłonnym.

UWAGA! Hasła mogą być jednak łatwiejsze do złamania niż sugeruje to Blizzard. Dlaczego? Dlatego, że Blizzard nie rozróżnia małych i dużych liter w haśle (mając hasło TroLOLo, można się zalogować poprzez Trololo jak i trololo) — wątek na forum Blizzarda z ciekawą opinią pracownika firmy na ten temat, którą zauważył Krzysztof

Mam konto na Battle.net – co zrobić?

Mimo wszystko, sam Blizzard prosi graczy z północnoamerykańskich serwerów o zmianę haseł (na wszelki wypadek) oraz zapowiada, że będzie wymuszał zmianę “sekretnych pytań” (nie zdecydował się jednak na globalny reset haseł).

Normalnie, ostrzeglibyśmy was, żeby spodziewać się ataków phishing (przypomnijmy, włamywacze mają listę e-maili graczy) — ale nie musimy, bo zrobił to sam Blizzard.

Naprawdę wielkie brawa, bo oświadczenie Blizzardu to niemalże wzorcowy przykład jak informować o incydentach bezpieczeństwa (zawiera odpowiedzi na: co?, gdzie?, kiedy?, co teraz? oraz słowo “przepraszamy” i bardziej zaawansowane FAQ dla ciekawskich). Z niedociągnięć: brakuje informacji jak włamano się do sieci wewnętrznej (socjotechnika? 0day?) i wygląda na to, że Blizzard nie informuje użytkowników e-mailowo o incydencie oraz z pobudek finansowych nie wymusza globalnej zmiany haseł… Ale mimo to, brawo Blizzard! Gdyby najnowsze Diablo wyszło Wam tak dobrze jak to oświadczenie, to dalej byśmy w nie grali… ;)

PS. Jeśli ktoś z Was korzystał z unikalnego e-maila, jedynie na potrzeby Blizzarda, sprawdźcie proszę, czy już dostaliście na niego jakiś spam lub podejrzaną wiadomość. Gdybyście coś takiego znaleźli, przeforwardujcie proszę na adres blizzard@niebezpiecznik.wiadomedwielitery.

Przeczytaj także:

45 komentarzy

Dodaj komentarz
  1. No, dzisiaj o 4:40 i 4:56 ktos usilowal mi podpieprzyc konto. Niby chwilowo mam frozen, ale tym nie mniej wk..

    • @btd: w kolejnym kroku, jako atakujący, przesłałbym Ci zespoofowanego e-maila, że “Twoje konto zostało zablokowane, aby je odblokować wpisz hasło” :)

    • Jakie to proste.

    • przyszly maile, ale z blizzarda, wiadomo ze lepiej sprawdzic zrodlo wiadomosci zanim sie kliknie.

    • Wszystkie powyższe informacje NIE są wystarczające, aby ktokolwiek uzyskał dostęp do kont Battle.net. z http://eu.blizzard.com/pl-pl/securityupdate.html

      No i tu problem, bo mają dostęp do wszystkiego jeżeli twój mail zawiera imię i nazwisko + wykradzione w txt hasło bezpieczeństwa. Jeżeli ktoś nie zdążył ze zmianą tego hasła to już dawno pożegnał się z kontem, ponieważ dzwoniąc na infolinie podając imię, nazwisko i hasło, można zmienić hasło bezpieczeństwa oraz inne dane w tym imię i nazwisko!

      Jedynym sposobem na odzyskanie tak skradzionego konta jest wysyłanie skanów dokumentów, dowodów osobistych itd. (np ja nie mam podanych prawdziwych danych, ponieważ żadna z promocji Blizzarda nie działa w Polsce, mam więc “Angielskie konto”), druga sprawa to wysłanie “cd-key’ów” gier (koniecznie zdjęcia) najlepiej z pudełkami, a takie gry kupuje się w preorderze, gdzie dostaje się skan 20x250px z kodem oczywiście nie ma mowy o pudełku.

    • GorPac , nikt nie zmieni imienia i nazwiska właściciela konta bnet po telefonie, nie ma takiej możliwości blizzard od dawna tego nie robi(nie wiem czy kiedykolwiek robił, pomijam udokumentowane zamążpójście czy inne tego typu wypadki zmiany nazwiska),ułatwiło by to handel kontami a tutaj są oni wyczuleni, wiem na własnym przykładzie iż zmienić adres(kraj konta) możesz jedynie śląc im skany dokumentów – innej rady nie ma. Konto zawsze jest do odzyskania, jeśli nie masz prawdziwych danych to jest dopiero problem… jeśli chodzi o wow’a tutaj nikt raczej nic nie straci, zawsze po każdym hacku postać odzyska wszystko, telefonicznie lub z poziomu konta. Nie wiem jak diablo i tamtejszy support…

  2. [quote]Gdyby najnowsze Diablo wyszło Wam tak dobrze jak to oświadczenie, to dalej byśmy w nie grali… ;)[/quote]

    Pro. Szkoda, że akurat blizza potraktowałem poważnie ( w rozumieniu: przecież to blizz ) i użyłem mojej prywatnej skrzynki, a nie żadnej specjalnej pod gry czy spam :/.

  3. Rozumiem, że dzięki używaniu protokołu SRP moje hasło nie zostanie odszyfrowane i nie muszę się obawiać o bezpieczeństwo swojego konta, prawda?

    • Nie.

    • Może nie tyle nie całkiem bezpieczny, o ile trudniej jest Twoje hasło znaleźć.

    • [quote]wykorzystanie SRP nie uniemożliwia uzyskania prawdziwych haseł użytkowników, ale proces deszyfracji czyni bardzo pracochłonnym.[/quote]

      co z tego jest niezrozumiałe?

  4. Nie wychwalałbym tak pod niebosa reakcji Blizzarda, bo przede wszystkim powinni poinformować wszystkich poszkodowanych drogą emailową. Skąd ludzie mają się o tym dowiedzieć, gdy nie śledzą stron security i nie siedzą na oficjalnym forum blizzarda tudzież battle.net?

    • To niedociągnięcie zostało wypunktowane. Może zaczną rozsyłać e-maile (już zaczęli?).

    • Moze nie chca rozsylac informacji o zmianie hasla mailem aby potencjalne ofiary phishingu nie mialy watpliwosci

    • Przede wszystkim to sporo tych kont nawet nie powinna istniec, gdyby nie genialna budowa ostatniego Diablo.

  5. Krwawe wakacje :>

  6. Zapomnieli tylko napisać, że odszyfrowanie tych haseł może zająć dużo mniej czasu niż normalnie gdyż wszystkie hasła, które trzymają prawdpodobnie są trzymane w wersji “strtolower”.

    Wystarczy zrobić prosty test przy logowaniu do konta battle.net.
    Jeśli mamy w haśle jakąś dużą literę to wpiszmy ją jako małą literę.
    Zalogujemy się bez problemu.

    http://us.battle.net/d3/en/forum/topic/5152409863 – topic na forum blizzarda z ciekawą wypowiedzią pracownika blizzarda

    • It’s not a bug, it’s a feature!!!

  7. Od siebie dodam, że włączając WoW-a lub diablo na 1/2 launchera wyświetla się informacja do przeczytania.

    Jak do tej pory nie dostałem żadnego maila ani od blizzarda, ani od atakujących.

  8. ” Blizzard nie rozróżnia małych i dużych liter w haśle” – security fail roku, jeżeli nie dekady…debilom już się do końca we łbach poprzewracało… Blizzard w moich oczach stracił resztki szacunku.

    • dziwne ze nie zauwazyles tego wczesniej. to bylo wiadome od czasow wow tbc jak nie wczesniej.

  9. A co z uwierzytelnianiem dwustopniowym ?
    Wspomnieli coś o kontach, które są dodatkowo zabezpieczone tokenem (sprzętowym lub w formie aplikacji na telefon) ?
    Nawet jeśli ktoś pozna moje hasło i login, to zostaje mu jeszcze wklepanie 8 cyferek z Authenticator’a ;)

    Upierdliwe to jest, ale cieszę się, że sobie go założyłem (apka na telefon). Do tego powiadomienia SMS o ‘podejrzanej’ aktywności na koncie (zmiana hasła, danych, ustawienia bezpieczeństwa…)

    PS. W sumie to z tydzień temu się zastanawiałem: “Hej… Tyle włamań ostatnio było, ciekawe kiedy Blizz padnie.” No i się doczekałem… :/

    • Dial-In Authenticators, hashed (not actual) phone numbers were accessed. This is phone data from the relatively small number of people who opted into the program. With regard to Mobile Authenticators, information was taken that could potentially compromise the integrity of North American Mobile Authenticators.

  10. “Gdyby najnowsze Diablo wyszło Wam tak dobrze jak to oświadczenie, to dalej byśmy w nie grali…”
    so true….

  11. Swoją drogą nic mnie tak nie rozwala jak wymóg hasła do battlenetu, które nie może być dłuższe niż 16 znaków. Jak widzę takie ograniczenia, to zastanawiam się, co determinuje ten fakt i zawsze się obawiam, że pole w bazie danych przeznaczone na hasło w jawnym tekście ma po prostu taką długość ;)

    • Jak to niemoze byc dluzsze niz 16 znakow? Moje ma grubo ponad 20 jakims cudem…

    • @Beczo:

      Na pewno brane pod uwagę jest tylko pierwsze 16 znaków. Chyba w każdej grze i w logowaniu na stronie Battlenetu jest ograniczenie do 16 znaków w polu hasła. Tak więc coś podejrzewam, że wpisujesz pierwsze 16 a potem po prostu klepiesz w klawisze ;)

    • Żeby nie być gołosłownym. Tak w kodzie html wygląda pole do wpisania hasła w Battlenecie. http://i.imgur.com/CMfKZ.png

  12. _In the coming days, we’ll be prompting players on North American servers to change their secret questions and answers through an automated process._ – więc będą coś robić.

  13. Blizz nie wspomniał o jeszcze jednej rzeczy: mają opcję połączenia konta PayPal z kontem Battle.net – Diablo 3 i Real Money Auction House.
    Jak wiadomo, większość ludzi używa tego samego hasła i maila do wielu serwisów. To teraz pomyślcie, do czego dane z tego wycieku mogą się przydać…

  14. Czyli nic w internecie nie jest bezpieczne jakby tylko ktoś chciał to by dowiedział się wszystkiego o tobie nie musząc się nawet za bardzo wysilać. Jednak cieszy mnie to że nie zdecydowałem sie na zakup DIII

  15. >> …przeforwardujcie proszę na adres blizzard@niebezpiecznik.wiadomedwielitery.

    Ciekawe ile osób przeforwarduje tą wiadomości bezpośrednio z unikalnej skrzynki używanej tylko do logowania w WoW… :-)

  16. UWAGA! Hasła mogą być jednak łatwiejsze do złamania niż sugeruje to Blizzard. Dlaczego? Dlatego, że Blizzard nie rozróżnia małych i dużych liter w haśle (mając hasło TroLOLo, można się zalogować poprzez Trololo jak i trololo) — wątek na forum Blizzarda z ciekawą opinią pracownika firmy na ten temat, którą zauważył Krzysztof

    Ps prubowałem podać hasło w ten sposób ale nie da rady się zalogować ???
    poprawili to już ?

    • musisz sprÓbować, wtedy na pewno zadziałą

  17. Niebezpiecznik:
    Jeśli ktoś z Was korzystał z unikalnego e-maila, jedynie na potrzeby Blizzarda, sprawdźcie proszę, czy już dostaliście na niego jakiś spam lub podejrzaną wiadomość.

    Vipeout:
    Szkoda, że akurat blizza potraktowałem poważnie ( w rozumieniu: przecież to blizz ) i użyłem mojej prywatnej skrzynki, a nie żadnej specjalnej pod gry czy spam

    Interesujące. Możecie napisać (w komentarzach, a może warto tematowi poświęcić osobny tekst) o takich rozwiązaniach? Robicie aliasy pod poszczególne gry? A może osobne konta? Do każdej gry czy do wszystkich?
    Ja akurat jestem na etapie ogarniania wszystkich swoich byłych i aktualnych maili – a przez te paręnaście lat się tego nazbierał – staram się kasować to czego nie używam (notabene: zauważcie jak ciężko jest niekiedy _usunąć_ konto z jakiejś strony/gry/etc? Rejestracja to kilka kliknięć, a usunięcie?) i jakoś to sieciowe rozmnożenie osobowości opanować, dążąc do absolutnego minimum (mail służbowy, mail prywatny “oficjalny” imię.nazwisko@, mail prywatny do głupot ksywka@… A łatwo nie jest, pojawił się na przykład outlook.com – no i jak tu nie potestować? :>

    • W Gmail możesz dodać kropkę w dowolnym miejscu nazwy, co pozwoli Ci rozróżnić to, gdzie podałeś e-mail. mojanazwa@gmail.com = moja.nazwa@gmail.com = m.o.j.a.nazwa@gmail.com itd.

      Najprościej jak masz własną domenę podpiętą np: pod google apps. Wtedy możesz sobie tworzyć skrzynki bank@domena.pl fora@domena.pl smieci@domena.pl warcraft@domena.pl itd, a następnie forwardować wszystkie wiadomości na główną skrzynkę.

      Jak się rejestrujesz na jakimś forum “bo tylko zarejestrowaniu użytkownicy widzą linki”, i prawdopodobnie nigdy do niego nie wrócisz, możesz skorzystać z serwisów takich jak: http://niepodam.pl/ czy http://hidemyass.com/

    • Przede wszystkim w gmailu można używać plusa (‘+’) to tworzenia aliasów, tz email mojekonto+blizzard@gmail.com trafi do twojej skrzynki mojekonto@gmail.com (z etykietą ‘blizzard’ o ile tak sobie ustawisz).

      Problem w tym że część formularzy rejestracyjnych na rożnych stronach nie akceptuje plusa w adresie mailowym.

    • Używam plusa, przy czym faktycznie, czasem dość dokuczliwe są te formularze. Zwłaszcza pomniejszych serwisów, gdzie nie przewidzieli takiej możliwości, albo używają darmowego / kiepskiego skryptu gdzie to nie jest zaimplementowane.

  18. Na godzinę 17:36 zero emaili od Blizza. Mam konto na Eu.
    Przy logowaniu się na D2 w Europie również nie ma żadnych informacji.

  19. @GorPac

    Teraz dzwoniac na infolinie NA PEWNO nie zmienisz niczego majac tylko te 3 dane, druga sprawa NIE ZMIENISZ imienia i nazwiska, jedynie w wyjatkowych sytuacjach moga zmienic (przepisanie z rodzica/opiekuna na pelnoletnie dziecko). W innych sytuacjach, zapomnij.

  20. zawsze stosuje fałszywe podpowiedzi do hasła to najlepsza obrona, hasła staram się pamiętać, ale oprócz tego trzymam je zapisane w domowym komputerze bez dostępu do sieci ;]

  21. Teraz w launcherze Startcrafta2 pojawia się wielka kłódka z linkiem i tekst “important security update – please read”.

  22. [...] G4G.pl poinformował o włamaniu krótko po tym jak Blizzard ujawnił, że padł ofiarą ataków. [...]

  23. No fajnie, nie ma jak to się dowiedzieć 2 dni po ogłoszeniu czytając wiadomości… Nie wiem jak US, ale EU nie dostało żadnego maila z informacją. Dawno nie grałem, ale wolałbym zobaczyć info na mailu mimo wszystko. US mogło otrzymać maila z prośbą o zmianą hasła, więc jeśli ktoś ma konto US dobrze by było, gdyby poinformował tutaj o nadaniu maila.

    Sprawdziłem rozpoznawanie małych/dużych liter – nadal brak. Nawet po zmianie hasła. No sorry bardzo, ale “Kwestię bezpieczeństwa waszych danych osobowych traktujemy z najwyższą powagą” obok takiego “ficzera” wygląda na co najmniej niepoważne. (cytat z http://eu.blizzard.com/pl-pl/securityupdate.html )

  24. A nie zastawnawia was fakt, że firma z “obcego” kontynentu gromadzi dane osobowe ludzi z całego świata i robi to w 100% legalnie i za przyzwoleniem tych samych ludzi? Gromadzi: imie, nazwisko, klucz, nr telefonu (autentykator), wiek, (płeć?) , kraj, adres zamieszkania, email, adres do korespondencji. adres IP i może jeszcze skany dokumentów niech im ludzie przysyłają.

    To samo tyczy się firmy Google – tylko, że znacznie na szerszą skale i znacznie wiecej infromacji typu: lista znajomych, dokumenty które tworzysz, mejle itp itd…

    Mnie to przeraża.

    Wyciek danych graczy dotyczył wszystkich tylko nie Chin – dlaczego? Ktoś ominał “swoich” czy może jest jakiś zupełnie inny powód. WTF?

    Ten wyciek danych to dowód na nieudolność firmy Blizzard. Tak samo jak ich nieudolność w tworzeniu i poprawnianiu własnych produktów (Starcraft 2, Diablo 3). Firma ta jest nastawiona tylko i wyłącznie na zyski ze sprzedaży w/w, a nie na poprawianie ich jakości.
    Sama idea domu aukcyjnego w Diablo 3 chociażby to potwierdza, gdzie za sprzedaż przedmiotu firma pobiera odpowiednią marżę.
    Po co graczom – tak zachwalany, reklamowany i polecany – autentykator skoro jak widać problem nie leży po stronie braku bezpieczeństwa samych graczy, a po stronie firmy i jej serwerów. Niedługo dojdzie do tego, że “ktoś” wykradnie im źródła samej gry ;D (Microsoft/źródła Windows – pamiętamy :D).

    Pozdrawiam wszystkich rozczarowanych grą graczy Starcraft 2
    Z poważaniem
    Ethereal.508

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: