19:12
2/7/2013

Ubisoft, popularny wydawca gier komputerowych, właśnie rozesłał swoim klientom komunikat dotyczący włamania na swoje serwery.

Ubisoft hacked

Ubisoft

Ubisoft

Oto rozsyłana Polakom, dość pokraczna i nieprecyzyjna wiadomość (wytłuszczenia nasze):

Szanowny Użytkowniku,
W ostatnim okresie odkryliśmy, że jedna z naszych stron WWW została zatakowana w celu uzyskania dostępu do naszych sieci. Nieautoryzowane wejście zostało natychmiast zablokowane przez nasz personel do spraw bezpieczeństwa, podjęliśmy też odpowiednie kroki w celu wyjaśnienia włamania, a także rozpoczęliśmy procedury mające na celu przywrócenie właściwego funkcjonowania wszelkich systemów, które mogły być obiektem ataku.

Podczas naszych działań odkryliśmy, że starano się nielegalnie przejąć dane z naszej bazy. Wśród informacji, które mogły być celem ataku znalazły się: nazwy użytkowników, adresy e-mailowe oraz ukryte hasła. Zwracamy uwagę, że Ubisoft nie przechowuje żadnych informacji dotyczących płatności dokonywanych przez użytkowników kont. Wszelkie dane związane z kartami bankowymi naszych klientów nie były oraz nie są zagrożone poprzez ten atak.

Z uwagi na poważne niebezpieczeństwo związane z ewentualnym wyciekiem tych danych rekomendujemy zmianę hasła dostępu do konta: [nazwa konta]

Aby wpisać nowe hasło prosimy wejść na poniższy link: [link do resetu hasła]

W celu pełniejszego zabezpieczenia rekomendujemy wprowadzenie zmian we wszystkich serwisach WWW gdzie użytkownicy mieli podobne lub te same hasła.

Więcej informacji Znajdą Państwo tutaj: https://support.ubi.com/pl-PL/FAQ.aspx?platformid=60&brandid=2030&productid=3888&faqid=kA030000000eYZMCA2.

Jeśli Macie Państwo dodatkowe pytania uprzejmie prosimy o kontakt z biurem obsługi klienta poprzez usługę www pod adresem https://support.ubi.com

Gorąco przepraszamy za wszelkie niedogodności związane z zaistniałą sytuacją. Bezpieczeństwo Państwa danych pozostaje naszym priorytetem.

Ponieważ oficjalny, polski komunikat jaki rozsyła Ubisoft jest trochę pokraczny i w zasadzie kłamliwy — po polsku “mogły być celem ataków” w oryginale brzmi następująco: “we learned that data were illegally accessed from our account database, including user names, email addresses and encrypted passwords.”), podsumujmy jeszcze raz co się dokładnie stało:

  • Ubisoft zauważył włamanie na jeden z webserverów (nie wspominają który, ale wszystko wskazuje na uPlay, brak informacji kiedy nastąpił atak).
  • Wykradziono dane (nazwy kont, adresy e-mail oraz zapewne hashe haseł, jeśli przyjąć taką błędą interpretację słowa “encrypted”).
  • Dane finansowe nie zostały wykradzione

Jestem klientem Ubisoftu — co robić, jak żyć?

Jeśli jesteście klientami Ubisoftu, natychmiast zmieńcie hasła w każdym serwisie, w którym ustawiliście je na takie, jak to do konta na Ubi. Łatwo powiedzieć — trudniej zrobić. Oficjalna strona Ubisoftu jest teraz w trybie “naprawy”, co powoduje, że ci, którzy chcą zmenić hasło mają problem. Nam jednak zadziałał taki, bezpośredni link: https://secure.ubi.com/register/ForgotPwd.aspx?genomeId=5b61fa9f-305b-422b-aa3a-0efcf8370dec&lang=en-US&nexturl=http://www.uplay.com.

Ubi

Ubi.com

Każda tego typu wpadka do dobry powód do przypomnienia, że istnieje coś takiego jak KeePass.

Przeczytaj także:


Dowiedz się, jak zabezpieczyć swoje dane i pieniądze przed cyberprzestępcami. Wpadnij na nasz kultowy ~3 godzinny wykład pt. "Jak nie dać się zhackować?" i poznaj kilkadziesiąt praktycznych i przede wszystkim prostych do zastosowania porad, które skutecznie podniosą Twoje bezpieczeństwo i pomogą ochronić przed atakami Twoich najbliższych. Uczestnicy tego wykładu oceniają go na: 9,34/10!

Na ten wykład powinien przyjść każdy, kto korzysta z internetu na smartfonie lub komputerze, prywatnie albo służbowo. Wykład prowadzimy prostym językiem, wiec zrozumie go każdy, także osoby spoza branży IT. Dlatego na wykład możesz spokojnie przyjść ze swoimi rodzicami lub mniej technicznymih znajomych. W najbliższych tygodniach będziemy w poniższych miastach:

Zobacz pełen opis wykładu klikając tutaj lub kup bilet na wykład klikając tu.

39 komentarzy

Dodaj komentarz
  1. Ciekawe jest to ze ja majac konto na uplay ( ale nie mając ani jednej gry ) nie dostalem maila, a za to dostała moja dziewczyna ktora ma konto uplay z jedną gra..

    Albo mają tylko bazę klientów , albo rozsylaja tylko osobom ktore są ich klientami.

    • Ja nie mam żadnej gry, ale dostałem.

    • Ja mam gry, ale nie dostałem maila :x

    • Ja nie mam konta i nie mam gier, a maila dostałem ^^’

    • Mam jedna gre i dostalem, ale wiadomosc wpadla do spamu na gmailu :). Wlasciwie ta wiadomosc byla tak pokraczna ze bardzo dlugo zastanawialem sie czy to jest spam czy nie, zwlaszcza ze zostala wyslana z jakiegos dziwnego maila (skasowalem juz ta wiadomosc ale bylo to cos w stylu email@email.uplay.com).

    • @ 2013.07.02 23:55 | # |
      Ja nie mam konta i nie mam gier, a maila dostałem ^^’

      Kolego to masz poważny problem. Nie dość, że nie istniejesz w sieci to już znaczy, że facebruk sprzedał bazę danych ubisoftowi. Pewnie zalajkowałeś jakąś grę UBI na fb.

  2. Nie był to atak na uplay (informacja ze strony FAQ podanej w mailu): “Czy włamano się na Uplay? Czy zaatakowano serwery tego serwisu?
    Nie. Atak nie nadszedł ze strony usługi Uplay. Zaatakowano nasze systemy online.”

  3. Ja nie otrzymałem emaila a konto mam i nawet kilka gier dodanych jednak kupionych przez steam. Jednak dzięki za info :) Polecam LastPass w takich sytuacjach :) https://lastpass.com/f?1433256 :D

    • Nie wiem co LastPass ma do logowania się w dedykowanej aplikacji UPlay.

  4. Ja za to maila otrzymałem, za to przy próbie zmiany hasła strona informuje mnie o wyłączonych ciasteczkach… :S

    • Dragoon, prawdopodobnie używasz czegoś do blokowania śledzących ciastek. Miałem to samo. Tymczasowe wyłączenie tego ustrojstwa załatwia sprawę.

  5. Mnie udało się obejść to info o wył. ciasteczkach i dostałem maila z linkiem do zmiany hasła. Niestety, po kliknięciu w ten link (lub skopiowaniu i wklejeniu do przeglądarki) strona Ubi informuje o błędzie. Co teraz?

    • A jak Ci się udało obejść to ostrzeżenie o ciasteczkach, bo w moim przypadku w każdej przeglądarce mam ten problem, więc nie jest to problem z jakimś “blockerem”.

    • Skorzystałem z IE :). Poszło od razu, ale zmienić hasła nie mogłem – strona Ubi wywala błąd. Nie wiem, o co chodzi.

  6. Dobrze, że zajrzałem dziś na niebezpiecznik, bo maila od Ubisoftu gmail umieścił w spamie.

  7. Hm, kiedy dostałem maila o temacie “Aktualizacja zabezpieczeń Twojego konta Ubisoft”, to go zignorowałem, bo pomyślałem że wprowadzili jakiś nowy system zabezpieczeń na usługę której i tak praktycznie nie używam. Może na przyszłość sensowniej byłoby “Dane Twojego konta Ubisoft zostały wykradzione”. I też nie mogę zmienić hasła, bo ciasteczka.

  8. Hmmm, byłoby mi ich szkoda, gdyby dbali o klientów… Może to było przyczyną włamania, niepocieszony klient :)?

    BTW. pomimo, że mam u nich “wymuszone” konto i nieszczęsne 2 gry od nich nie dostałem żadnego powiadomienia.

    • Przed chwilą dostałem, jesteście szybsi niż Ubisoft.

      Pomarudzę trochę. Rozumiem, że zalecane hasło ma mieć więcej niż 8 znaków, ale wytłumaczy mi ktoś logicznie dlaczego hasło ma limit 16 znaków? Trzymają je w plain text i takie mają ograniczenie rozmiaru pola w bazie? WTF? Hash to hash i ma stałą długość… Kiedyś jakiś polski serwis o bezpieczeństwie miał ograniczenia co do hasła tylko litery i cyfry w dodatku długość też była ograniczona, kpina…

      Wracają do tematu, czy jest jakieś logiczne wyjaśnienie dlaczego istnieje górny limit dla liczny znaków w haśle, szczególnie tylko 16?

    • Ale to nie my ich … ;-)

    • @Piotr dobra, dobra :)

      To jak się ma powód, dla którego hasło nie może być dłuższe niż X (w tym wypadku 16) znaków, istnieje jakiś sensowny?

    • Może hashują hasła MD5?

  9. Szybcy jesteście :)

  10. Wygląda na to, że już działa resetowanie hasła

  11. po próbie zmiany hasła w firefox i ie, wyskakuje komunikat “There was an error accessing the requested web page.”

    • komunikat wyskakiwał z powodu użycia znaków specjalnych w haśle, bez nich zapytanie przeszło bez problemu

  12. W Chrome też – tam w linku są znaki specjalne i to pewnie dlatego – przeklejam całość czy klikam to zawsze mam tak samo i nie mogę zmienić hasła…

  13. O zmienionym haśle to już nie poinformują na maila…

  14. a co powiecie o dodatku do chrome lastpass?

    • LastPass daje radę i ogólnie polecam. Dane są szyfrowane / deszyfrowane na twoim komputerze. Oczywiście, jeśli i tak im nie ufasz, możesz kombinować z KeePas + jakiś plugin do przeglądarki, żeby dało się tego używać. Odradzam RoboForm, bo dranie zmieniają umowę i zasady licencjonowania na już sprzedane produkty.

  15. Nie wiecie co zrobić z problemem na stronce Ubi “Wystąpił błąd podczas dostępu do żądanej strony.”? Maila otrzymuje z linkiem, apotem ten błąd. Wyłączony adblock i korzystanie z IE nic nie pomaga.

    • hasło nie może zawierać znaków specjalny, bo wtedy wyskakuje ten błąd i jest lipa

  16. Wszyscy dostaliście taki email, ale u niektórych osób od razu trafiło do spamu. I nie ma co panikować z tymi hasłami, bo są zaszyfrowane i wątpię, że komuś chciało by się to odszyfrowywać bo trochę to trwa. Hasła nie są podane na tacy, jak większość użytkowników uważa. Głównie chodzi o wasze dane wraz z adresem email. Takie bazy danych są dużo warte.
    Pozdrawiam!

  17. już w sieci..
    http://emeraldfiles.com/ubisoft-database-hacked-passwords/

  18. Ja do tej pory nie dostałem maila od ubisoftu, w spamie tez pusto?

  19. LOL, sieć już sie śmieje: http://9gag.com/gag/aWZ0ng2 :} No i cieszę się, że od początku im nie ufałem i użyłem tam hasła, którego używam tylko do takich kompletnie zbędnych pierdół :P

  20. Tylko czekać kiedy okaże się, że KeePass ma poważną dziurę,
    i hasła do wielu serwisów milionów ludzi zostały przejęte.

    • Przejete z localhosta?

    • Faktycznie źle to ująłem. Chodziło mi raczej o to, że ktoś
      może w końcu dodać “ficzer”. Są w sumie takie konkursy na pisanie
      tak kodu żeby wyglądał na normalny a robił jednak co innego, więc
      prędzej czy później coś takiego przejdzie przez code review. Z
      drugiej strony po co się męczyć kiedy można zrobić phishing z
      dodatkowym ficzerem przesyłania haseł i czekać, a ktoś się zawsze
      trafi.

  21. Ja również myślałem, że nie mam od nich maila jednak
    okazało się, że jest w spamie :)

Odpowiadasz na komentarz Maciek

Kliknij tu, aby anulować

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: