19:12
2/7/2013

Ubisoft, popularny wydawca gier komputerowych, właśnie rozesłał swoim klientom komunikat dotyczący włamania na swoje serwery.

Ubisoft hacked

Ubisoft

Ubisoft

Oto rozsyłana Polakom, dość pokraczna i nieprecyzyjna wiadomość (wytłuszczenia nasze):

Szanowny Użytkowniku,
W ostatnim okresie odkryliśmy, że jedna z naszych stron WWW została zatakowana w celu uzyskania dostępu do naszych sieci. Nieautoryzowane wejście zostało natychmiast zablokowane przez nasz personel do spraw bezpieczeństwa, podjęliśmy też odpowiednie kroki w celu wyjaśnienia włamania, a także rozpoczęliśmy procedury mające na celu przywrócenie właściwego funkcjonowania wszelkich systemów, które mogły być obiektem ataku.

Podczas naszych działań odkryliśmy, że starano się nielegalnie przejąć dane z naszej bazy. Wśród informacji, które mogły być celem ataku znalazły się: nazwy użytkowników, adresy e-mailowe oraz ukryte hasła. Zwracamy uwagę, że Ubisoft nie przechowuje żadnych informacji dotyczących płatności dokonywanych przez użytkowników kont. Wszelkie dane związane z kartami bankowymi naszych klientów nie były oraz nie są zagrożone poprzez ten atak.

Z uwagi na poważne niebezpieczeństwo związane z ewentualnym wyciekiem tych danych rekomendujemy zmianę hasła dostępu do konta: [nazwa konta]

Aby wpisać nowe hasło prosimy wejść na poniższy link: [link do resetu hasła]

W celu pełniejszego zabezpieczenia rekomendujemy wprowadzenie zmian we wszystkich serwisach WWW gdzie użytkownicy mieli podobne lub te same hasła.

Więcej informacji Znajdą Państwo tutaj: https://support.ubi.com/pl-PL/FAQ.aspx?platformid=60&brandid=2030&productid=3888&faqid=kA030000000eYZMCA2.

Jeśli Macie Państwo dodatkowe pytania uprzejmie prosimy o kontakt z biurem obsługi klienta poprzez usługę www pod adresem https://support.ubi.com

Gorąco przepraszamy za wszelkie niedogodności związane z zaistniałą sytuacją. Bezpieczeństwo Państwa danych pozostaje naszym priorytetem.

Ponieważ oficjalny, polski komunikat jaki rozsyła Ubisoft jest trochę pokraczny i w zasadzie kłamliwy — po polsku “mogły być celem ataków” w oryginale brzmi następująco: “we learned that data were illegally accessed from our account database, including user names, email addresses and encrypted passwords.”), podsumujmy jeszcze raz co się dokładnie stało:

  • Ubisoft zauważył włamanie na jeden z webserverów (nie wspominają który, ale wszystko wskazuje na uPlay, brak informacji kiedy nastąpił atak).
  • Wykradziono dane (nazwy kont, adresy e-mail oraz zapewne hashe haseł, jeśli przyjąć taką błędą interpretację słowa “encrypted”).
  • Dane finansowe nie zostały wykradzione

Jestem klientem Ubisoftu — co robić, jak żyć?

Jeśli jesteście klientami Ubisoftu, natychmiast zmieńcie hasła w każdym serwisie, w którym ustawiliście je na takie, jak to do konta na Ubi. Łatwo powiedzieć — trudniej zrobić. Oficjalna strona Ubisoftu jest teraz w trybie “naprawy”, co powoduje, że ci, którzy chcą zmenić hasło mają problem. Nam jednak zadziałał taki, bezpośredni link: https://secure.ubi.com/register/ForgotPwd.aspx?genomeId=5b61fa9f-305b-422b-aa3a-0efcf8370dec&lang=en-US&nexturl=http://www.uplay.com.

Ubi

Ubi.com

Każda tego typu wpadka do dobry powód do przypomnienia, że istnieje coś takiego jak KeePass.

Przeczytaj także:

39 komentarzy

Dodaj komentarz
  1. Ciekawe jest to ze ja majac konto na uplay ( ale nie mając ani jednej gry ) nie dostalem maila, a za to dostała moja dziewczyna ktora ma konto uplay z jedną gra..

    Albo mają tylko bazę klientów , albo rozsylaja tylko osobom ktore są ich klientami.

    • Ja nie mam żadnej gry, ale dostałem.

    • Ja mam gry, ale nie dostałem maila :x

    • Ja nie mam konta i nie mam gier, a maila dostałem ^^’

    • Mam jedna gre i dostalem, ale wiadomosc wpadla do spamu na gmailu :). Wlasciwie ta wiadomosc byla tak pokraczna ze bardzo dlugo zastanawialem sie czy to jest spam czy nie, zwlaszcza ze zostala wyslana z jakiegos dziwnego maila (skasowalem juz ta wiadomosc ale bylo to cos w stylu email@email.uplay.com).

    • @ 2013.07.02 23:55 | # |
      Ja nie mam konta i nie mam gier, a maila dostałem ^^’

      Kolego to masz poważny problem. Nie dość, że nie istniejesz w sieci to już znaczy, że facebruk sprzedał bazę danych ubisoftowi. Pewnie zalajkowałeś jakąś grę UBI na fb.

  2. Nie był to atak na uplay (informacja ze strony FAQ podanej w mailu): “Czy włamano się na Uplay? Czy zaatakowano serwery tego serwisu?
    Nie. Atak nie nadszedł ze strony usługi Uplay. Zaatakowano nasze systemy online.”

  3. Ja nie otrzymałem emaila a konto mam i nawet kilka gier dodanych jednak kupionych przez steam. Jednak dzięki za info :) Polecam LastPass w takich sytuacjach :) https://lastpass.com/f?1433256 :D

    • Nie wiem co LastPass ma do logowania się w dedykowanej aplikacji UPlay.

  4. Ja za to maila otrzymałem, za to przy próbie zmiany hasła strona informuje mnie o wyłączonych ciasteczkach… :S

    • Dragoon, prawdopodobnie używasz czegoś do blokowania śledzących ciastek. Miałem to samo. Tymczasowe wyłączenie tego ustrojstwa załatwia sprawę.

  5. Mnie udało się obejść to info o wył. ciasteczkach i dostałem maila z linkiem do zmiany hasła. Niestety, po kliknięciu w ten link (lub skopiowaniu i wklejeniu do przeglądarki) strona Ubi informuje o błędzie. Co teraz?

    • A jak Ci się udało obejść to ostrzeżenie o ciasteczkach, bo w moim przypadku w każdej przeglądarce mam ten problem, więc nie jest to problem z jakimś “blockerem”.

    • Skorzystałem z IE :). Poszło od razu, ale zmienić hasła nie mogłem – strona Ubi wywala błąd. Nie wiem, o co chodzi.

  6. Dobrze, że zajrzałem dziś na niebezpiecznik, bo maila od Ubisoftu gmail umieścił w spamie.

  7. Hm, kiedy dostałem maila o temacie “Aktualizacja zabezpieczeń Twojego konta Ubisoft”, to go zignorowałem, bo pomyślałem że wprowadzili jakiś nowy system zabezpieczeń na usługę której i tak praktycznie nie używam. Może na przyszłość sensowniej byłoby “Dane Twojego konta Ubisoft zostały wykradzione”. I też nie mogę zmienić hasła, bo ciasteczka.

  8. Hmmm, byłoby mi ich szkoda, gdyby dbali o klientów… Może to było przyczyną włamania, niepocieszony klient :)?

    BTW. pomimo, że mam u nich “wymuszone” konto i nieszczęsne 2 gry od nich nie dostałem żadnego powiadomienia.

    • Przed chwilą dostałem, jesteście szybsi niż Ubisoft.

      Pomarudzę trochę. Rozumiem, że zalecane hasło ma mieć więcej niż 8 znaków, ale wytłumaczy mi ktoś logicznie dlaczego hasło ma limit 16 znaków? Trzymają je w plain text i takie mają ograniczenie rozmiaru pola w bazie? WTF? Hash to hash i ma stałą długość… Kiedyś jakiś polski serwis o bezpieczeństwie miał ograniczenia co do hasła tylko litery i cyfry w dodatku długość też była ograniczona, kpina…

      Wracają do tematu, czy jest jakieś logiczne wyjaśnienie dlaczego istnieje górny limit dla liczny znaków w haśle, szczególnie tylko 16?

    • Ale to nie my ich … ;-)

    • @Piotr dobra, dobra :)

      To jak się ma powód, dla którego hasło nie może być dłuższe niż X (w tym wypadku 16) znaków, istnieje jakiś sensowny?

    • Może hashują hasła MD5?

  9. Szybcy jesteście :)

  10. Wygląda na to, że już działa resetowanie hasła

  11. po próbie zmiany hasła w firefox i ie, wyskakuje komunikat “There was an error accessing the requested web page.”

    • komunikat wyskakiwał z powodu użycia znaków specjalnych w haśle, bez nich zapytanie przeszło bez problemu

  12. W Chrome też – tam w linku są znaki specjalne i to pewnie dlatego – przeklejam całość czy klikam to zawsze mam tak samo i nie mogę zmienić hasła…

  13. O zmienionym haśle to już nie poinformują na maila…

  14. a co powiecie o dodatku do chrome lastpass?

    • LastPass daje radę i ogólnie polecam. Dane są szyfrowane / deszyfrowane na twoim komputerze. Oczywiście, jeśli i tak im nie ufasz, możesz kombinować z KeePas + jakiś plugin do przeglądarki, żeby dało się tego używać. Odradzam RoboForm, bo dranie zmieniają umowę i zasady licencjonowania na już sprzedane produkty.

  15. Nie wiecie co zrobić z problemem na stronce Ubi “Wystąpił błąd podczas dostępu do żądanej strony.”? Maila otrzymuje z linkiem, apotem ten błąd. Wyłączony adblock i korzystanie z IE nic nie pomaga.

    • hasło nie może zawierać znaków specjalny, bo wtedy wyskakuje ten błąd i jest lipa

  16. Wszyscy dostaliście taki email, ale u niektórych osób od razu trafiło do spamu. I nie ma co panikować z tymi hasłami, bo są zaszyfrowane i wątpię, że komuś chciało by się to odszyfrowywać bo trochę to trwa. Hasła nie są podane na tacy, jak większość użytkowników uważa. Głównie chodzi o wasze dane wraz z adresem email. Takie bazy danych są dużo warte.
    Pozdrawiam!

  17. już w sieci..
    http://emeraldfiles.com/ubisoft-database-hacked-passwords/

  18. Ja do tej pory nie dostałem maila od ubisoftu, w spamie tez pusto?

  19. LOL, sieć już sie śmieje: http://9gag.com/gag/aWZ0ng2 :} No i cieszę się, że od początku im nie ufałem i użyłem tam hasła, którego używam tylko do takich kompletnie zbędnych pierdół :P

  20. Tylko czekać kiedy okaże się, że KeePass ma poważną dziurę,
    i hasła do wielu serwisów milionów ludzi zostały przejęte.

    • Przejete z localhosta?

    • Faktycznie źle to ująłem. Chodziło mi raczej o to, że ktoś
      może w końcu dodać “ficzer”. Są w sumie takie konkursy na pisanie
      tak kodu żeby wyglądał na normalny a robił jednak co innego, więc
      prędzej czy później coś takiego przejdzie przez code review. Z
      drugiej strony po co się męczyć kiedy można zrobić phishing z
      dodatkowym ficzerem przesyłania haseł i czekać, a ktoś się zawsze
      trafi.

  21. Ja również myślałem, że nie mam od nich maila jednak
    okazało się, że jest w spamie :)

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.