9/6/2012
Paweł G. podesłał nam następującą wiadomość, którą otrzymał od League of Legends:
Witaj, Przywoływaczu!
Upewnienie się, że Twoje informacje są bezpieczne jest dla nas bardzo ważne. Dlatego też jest nam niezmiernie przykro Cię poinformować, że hackerzy mogli uzyskać dostęp do niektórych informacji przypisanych do Twojego konta. Najważniejsze z nich to adres email, zaszyfrowane hasło do konta oraz data urodzenia. Żadne informacje na temat płatności nie zostały naruszone.
W ramach zapewnienia lepszego bezpieczeństwa, zalecamy zmianę hasła do Twojego konta, logując się na eune.leagueoflegends.com i odwiedzając stronę „moje konto” („My account”) (link znajdziesz po zalogowaniu się w prawym górnym rogu naszej strony). Jeżeli korzystasz z tego samego hasła na innych serwisach, zalecamy je również zmienić.
Dla Twojego bezpieczeństwa, powyżej podanego adresu nie da się kliknąć. Jeżeli potrzebujesz zalogować się na swoje konto, wpisz adres strony bezpośrednio w pasku adresu przeglądarki. Prosimy abyś zachował(a) wyjątkową ostrożność przy wszystkich wiadomościach email zawierających załączniki lub linki.
Umieściliśmy temat na forum zawierający znacznie więcej informacji oraz najnowsze oficjalne wieści w tej sprawie na eune.leagueoflegends.com/board w dziale ogłoszeń.
Serdecznie przepraszamy za spowodowane niedogodności, oraz prosimy o Twoją niezwłoczną uwagę w kwestii zresetowania Twojego hasła.
Więcej informacji o włamaniu i wycieku znajdziecie tutaj.
Plus za nieklikalnego URL-a w treści e-maila.
Weź udział z kolegami w jednym z naszych 8 cyberwykładów. Wiedzę podajemy z humorem i w przystępny dla każdego pracownika sposób. Zdalnie lub u Ciebie w firmie. Kliknij tu i zobacz opisy wykładów!
Każdy powinien zobaczyć te webinary! Praktyczna wiedza i zrozumiały język. 6 topowych tematów — kliknij tutaj i zobacz szczegółowe opisy oraz darmowy webinar.
Ja przyznam że dobrze, mniej nou-lajfów będzie.
Niestety nie. ;P Nowe konto to nie problem.
A co to jest “Nou-lajf”?
Niestety nieklikalny link jest tylko umownie- w Gmailu z Androida (SGS 2 Android 4 ICS) link byl jak najbardziej klikalny. Na PC nie mialem okazji jeszcze sprawdzic.
A o już ficzer klientów poczty niestety…
Sprawdziłem właśnie na netbooku (Win 7 Opera 11.64). W Gmailu link także jest klikalny.
Z wiadomości na stronie League of Legends – “We compared encrypted password hashes and discovered that 11 passwords were shared by over 10,000 players each”. Nie stosują soli, czy to tylko takie uproszczenie?
Wystarczy że stosują tą samą sól do każdego hasła i już można porównywać ;)
Zamieszczam w wersji angielskiej:
Greetings Summoner,
Keeping your information secure is very important to us. That’s why we’re sorry to inform you that some of the account information you provided us may have been accessed by hackers. Most critically, some players’ email address, encrypted account password, and date of birth. No payment or billing information of any kind was accessed.
As a safety precaution, please change your account passwords by logging in to eune.leagueoflegends.com and visiting the “my account” page (linked in the upper-right hand corner of the page after login). If you use the same password for accounts on other services, you should change those passwords as well.
For your security, the URL above isn’t clickable. If you need to access your account, type the URL in directly. On that note, please be extra vigilant about emails you receive, especially if those emails contain attachments or links.
We’re keeping this note short, but have created a forum post with much more information and the latest official updates on this situation at eune.leagueoflegends.com/board within the announcements forum.
We apologize for the inconvenience, and appreciate your immediate attention to resetting your password.
The League of Legends Security Team
Plus za “(Note: Security question and answer are no longer used in our account recovery process.)”
A dlaczego link klikalny w mailu jest niebezpieczny?
Uczy ludzi, że klikanie w linki w celu zresetowania hasła jest dobre. A równie dobrze, może to być phishing. Wpisując domenę znanego serwisu “z palca” jesteśmy bezpieczniejsi.
Tia… Okazuje się, że kiedyś miałem konto w LoL, też dostałem maila.
Bardziej mnie inna sprawa boli. Od 2 dni mam zalew spamu na skrzynce. Tylko dzisiaj, 23 maile.
Na dokładkę, 2 dni pod rząd dostawałem po 11 maili z MS Live z informacją o odzyskiwaniu hasła…
Catch-All Twoim przyjacielem jest. Każdy serwis = inny mail. Łatwo filtrować, łatwo lokalizować wycieki
Identyczne maile z Live’a dostałem.
Na Live ktoś brute-force’uje konta. Mojego akurat nie, ale znajomi dostają po 10 maili z informacją o resetowaniu hasła.
intryguje mnie “We’ll continue to invest in security measures, including password hashing and data encryption”
Mam nadzieję, że nie okaże się za jakiś czas, że hasła były w plainie, bo ich wyzabijam.
nii, napisali przecież “encrypted account password” – czyli np. podwójne kodowanie w rot13? ;]
Jak internety stare, jak komputery skomplikowane, tak nie istnieją idealne i nieprzełamywalne zabezpieczenia. Jak złodziej chce się w*ebać to mu się prędzej czy później uda – kwestia kasy / IQ / czasu / ( niepotrzebne skreślić ) Kiedyś byłem kozak i czułem się pewnie a na dzień dzisiejszy włamano mi się 3-ci raz i nie mam na to żadnego wpływu. Jest takie mądre powiedzenie – ” chcesz aby coś było zrobione dobrze – zrób to sam(a) “. Jeśli powierzasz i zawierzasz innym w zabezpieczaniu Twoich informacji – szybko może się okazać jak byłe(a)ś naiwny(a).
Czyli moj mail znow w spamie wyladowal… I got used to it ;)… Serce boli ale coz… :P
Pozdrawiam.
Andrzej