2/7/2013
Ubisoft, popularny wydawca gier komputerowych, właśnie rozesłał swoim klientom komunikat dotyczący włamania na swoje serwery.
Ubisoft hacked
Ubisoft
Oto rozsyłana Polakom, dość pokraczna i nieprecyzyjna wiadomość (wytłuszczenia nasze):
Szanowny Użytkowniku,
W ostatnim okresie odkryliśmy, że jedna z naszych stron WWW została zatakowana w celu uzyskania dostępu do naszych sieci. Nieautoryzowane wejście zostało natychmiast zablokowane przez nasz personel do spraw bezpieczeństwa, podjęliśmy też odpowiednie kroki w celu wyjaśnienia włamania, a także rozpoczęliśmy procedury mające na celu przywrócenie właściwego funkcjonowania wszelkich systemów, które mogły być obiektem ataku.Podczas naszych działań odkryliśmy, że starano się nielegalnie przejąć dane z naszej bazy. Wśród informacji, które mogły być celem ataku znalazły się: nazwy użytkowników, adresy e-mailowe oraz ukryte hasła. Zwracamy uwagę, że Ubisoft nie przechowuje żadnych informacji dotyczących płatności dokonywanych przez użytkowników kont. Wszelkie dane związane z kartami bankowymi naszych klientów nie były oraz nie są zagrożone poprzez ten atak.
Z uwagi na poważne niebezpieczeństwo związane z ewentualnym wyciekiem tych danych rekomendujemy zmianę hasła dostępu do konta: [nazwa konta]
Aby wpisać nowe hasło prosimy wejść na poniższy link: [link do resetu hasła]
W celu pełniejszego zabezpieczenia rekomendujemy wprowadzenie zmian we wszystkich serwisach WWW gdzie użytkownicy mieli podobne lub te same hasła.
Więcej informacji Znajdą Państwo tutaj: https://support.ubi.com/pl-PL/FAQ.aspx?platformid=60&brandid=2030&productid=3888&faqid=kA030000000eYZMCA2.
Jeśli Macie Państwo dodatkowe pytania uprzejmie prosimy o kontakt z biurem obsługi klienta poprzez usługę www pod adresem https://support.ubi.com
Gorąco przepraszamy za wszelkie niedogodności związane z zaistniałą sytuacją. Bezpieczeństwo Państwa danych pozostaje naszym priorytetem.
Ponieważ oficjalny, polski komunikat jaki rozsyła Ubisoft jest trochę pokraczny i w zasadzie kłamliwy — po polsku “mogły być celem ataków” w oryginale brzmi następująco: “we learned that data were illegally accessed from our account database, including user names, email addresses and encrypted passwords.”), podsumujmy jeszcze raz co się dokładnie stało:
- Ubisoft zauważył włamanie na jeden z webserverów (nie wspominają który, ale wszystko wskazuje na uPlay, brak informacji kiedy nastąpił atak).
- Wykradziono dane (nazwy kont, adresy e-mail oraz zapewne hashe haseł, jeśli przyjąć taką błędą interpretację słowa “encrypted”).
- Dane finansowe nie zostały wykradzione
Jestem klientem Ubisoftu — co robić, jak żyć?
Jeśli jesteście klientami Ubisoftu, natychmiast zmieńcie hasła w każdym serwisie, w którym ustawiliście je na takie, jak to do konta na Ubi. Łatwo powiedzieć — trudniej zrobić. Oficjalna strona Ubisoftu jest teraz w trybie “naprawy”, co powoduje, że ci, którzy chcą zmenić hasło mają problem. Nam jednak zadziałał taki, bezpośredni link: https://secure.ubi.com/register/ForgotPwd.aspx?genomeId=5b61fa9f-305b-422b-aa3a-0efcf8370dec&lang=en-US&nexturl=http://www.uplay.com.
Ubi.com
Każda tego typu wpadka do dobry powód do przypomnienia, że istnieje coś takiego jak KeePass.
Posłuchaj jednego z naszych 8 cyberwykładów. Wiedzę podajemy z humorem i w przystępny dla każdego pracownika sposób. Zdalnie lub u Ciebie w firmie. Kliknij tu i zobacz opisy wykładów!
Każdy powinien zobaczyć te webinary! Praktyczna wiedza i zrozumiały język. 6 topowych tematów — kliknij tutaj i zobacz szczegółowe opisy oraz darmowy webinar.
Ciekawe jest to ze ja majac konto na uplay ( ale nie mając ani jednej gry ) nie dostalem maila, a za to dostała moja dziewczyna ktora ma konto uplay z jedną gra..
Albo mają tylko bazę klientów , albo rozsylaja tylko osobom ktore są ich klientami.
Ja nie mam żadnej gry, ale dostałem.
Ja mam gry, ale nie dostałem maila :x
Ja nie mam konta i nie mam gier, a maila dostałem ^^’
Mam jedna gre i dostalem, ale wiadomosc wpadla do spamu na gmailu :). Wlasciwie ta wiadomosc byla tak pokraczna ze bardzo dlugo zastanawialem sie czy to jest spam czy nie, zwlaszcza ze zostala wyslana z jakiegos dziwnego maila (skasowalem juz ta wiadomosc ale bylo to cos w stylu email@email.uplay.com).
@ 2013.07.02 23:55 | # |
Ja nie mam konta i nie mam gier, a maila dostałem ^^’
Kolego to masz poważny problem. Nie dość, że nie istniejesz w sieci to już znaczy, że facebruk sprzedał bazę danych ubisoftowi. Pewnie zalajkowałeś jakąś grę UBI na fb.
Nie był to atak na uplay (informacja ze strony FAQ podanej w mailu): “Czy włamano się na Uplay? Czy zaatakowano serwery tego serwisu?
Nie. Atak nie nadszedł ze strony usługi Uplay. Zaatakowano nasze systemy online.”
Ja nie otrzymałem emaila a konto mam i nawet kilka gier dodanych jednak kupionych przez steam. Jednak dzięki za info :) Polecam LastPass w takich sytuacjach :) https://lastpass.com/f?1433256 :D
Nie wiem co LastPass ma do logowania się w dedykowanej aplikacji UPlay.
Ja za to maila otrzymałem, za to przy próbie zmiany hasła strona informuje mnie o wyłączonych ciasteczkach… :S
Dragoon, prawdopodobnie używasz czegoś do blokowania śledzących ciastek. Miałem to samo. Tymczasowe wyłączenie tego ustrojstwa załatwia sprawę.
Mnie udało się obejść to info o wył. ciasteczkach i dostałem maila z linkiem do zmiany hasła. Niestety, po kliknięciu w ten link (lub skopiowaniu i wklejeniu do przeglądarki) strona Ubi informuje o błędzie. Co teraz?
A jak Ci się udało obejść to ostrzeżenie o ciasteczkach, bo w moim przypadku w każdej przeglądarce mam ten problem, więc nie jest to problem z jakimś “blockerem”.
Skorzystałem z IE :). Poszło od razu, ale zmienić hasła nie mogłem – strona Ubi wywala błąd. Nie wiem, o co chodzi.
Dobrze, że zajrzałem dziś na niebezpiecznik, bo maila od Ubisoftu gmail umieścił w spamie.
Hm, kiedy dostałem maila o temacie “Aktualizacja zabezpieczeń Twojego konta Ubisoft”, to go zignorowałem, bo pomyślałem że wprowadzili jakiś nowy system zabezpieczeń na usługę której i tak praktycznie nie używam. Może na przyszłość sensowniej byłoby “Dane Twojego konta Ubisoft zostały wykradzione”. I też nie mogę zmienić hasła, bo ciasteczka.
Hmmm, byłoby mi ich szkoda, gdyby dbali o klientów… Może to było przyczyną włamania, niepocieszony klient :)?
BTW. pomimo, że mam u nich “wymuszone” konto i nieszczęsne 2 gry od nich nie dostałem żadnego powiadomienia.
Przed chwilą dostałem, jesteście szybsi niż Ubisoft.
Pomarudzę trochę. Rozumiem, że zalecane hasło ma mieć więcej niż 8 znaków, ale wytłumaczy mi ktoś logicznie dlaczego hasło ma limit 16 znaków? Trzymają je w plain text i takie mają ograniczenie rozmiaru pola w bazie? WTF? Hash to hash i ma stałą długość… Kiedyś jakiś polski serwis o bezpieczeństwie miał ograniczenia co do hasła tylko litery i cyfry w dodatku długość też była ograniczona, kpina…
Wracają do tematu, czy jest jakieś logiczne wyjaśnienie dlaczego istnieje górny limit dla liczny znaków w haśle, szczególnie tylko 16?
Ale to nie my ich … ;-)
@Piotr dobra, dobra :)
To jak się ma powód, dla którego hasło nie może być dłuższe niż X (w tym wypadku 16) znaków, istnieje jakiś sensowny?
Może hashują hasła MD5?
Szybcy jesteście :)
Wygląda na to, że już działa resetowanie hasła
po próbie zmiany hasła w firefox i ie, wyskakuje komunikat “There was an error accessing the requested web page.”
komunikat wyskakiwał z powodu użycia znaków specjalnych w haśle, bez nich zapytanie przeszło bez problemu
W Chrome też – tam w linku są znaki specjalne i to pewnie dlatego – przeklejam całość czy klikam to zawsze mam tak samo i nie mogę zmienić hasła…
O zmienionym haśle to już nie poinformują na maila…
a co powiecie o dodatku do chrome lastpass?
LastPass daje radę i ogólnie polecam. Dane są szyfrowane / deszyfrowane na twoim komputerze. Oczywiście, jeśli i tak im nie ufasz, możesz kombinować z KeePas + jakiś plugin do przeglądarki, żeby dało się tego używać. Odradzam RoboForm, bo dranie zmieniają umowę i zasady licencjonowania na już sprzedane produkty.
Nie wiecie co zrobić z problemem na stronce Ubi “Wystąpił błąd podczas dostępu do żądanej strony.”? Maila otrzymuje z linkiem, apotem ten błąd. Wyłączony adblock i korzystanie z IE nic nie pomaga.
hasło nie może zawierać znaków specjalny, bo wtedy wyskakuje ten błąd i jest lipa
Wszyscy dostaliście taki email, ale u niektórych osób od razu trafiło do spamu. I nie ma co panikować z tymi hasłami, bo są zaszyfrowane i wątpię, że komuś chciało by się to odszyfrowywać bo trochę to trwa. Hasła nie są podane na tacy, jak większość użytkowników uważa. Głównie chodzi o wasze dane wraz z adresem email. Takie bazy danych są dużo warte.
Pozdrawiam!
już w sieci..
http://emeraldfiles.com/ubisoft-database-hacked-passwords/
Ja do tej pory nie dostałem maila od ubisoftu, w spamie tez pusto?
LOL, sieć już sie śmieje: http://9gag.com/gag/aWZ0ng2 :} No i cieszę się, że od początku im nie ufałem i użyłem tam hasła, którego używam tylko do takich kompletnie zbędnych pierdół :P
Tylko czekać kiedy okaże się, że KeePass ma poważną dziurę,
i hasła do wielu serwisów milionów ludzi zostały przejęte.
Przejete z localhosta?
Faktycznie źle to ująłem. Chodziło mi raczej o to, że ktoś
może w końcu dodać “ficzer”. Są w sumie takie konkursy na pisanie
tak kodu żeby wyglądał na normalny a robił jednak co innego, więc
prędzej czy później coś takiego przejdzie przez code review. Z
drugiej strony po co się męczyć kiedy można zrobić phishing z
dodatkowym ficzerem przesyłania haseł i czekać, a ktoś się zawsze
trafi.
Ja również myślałem, że nie mam od nich maila jednak
okazało się, że jest w spamie :)