9:44
21/8/2013

LoL właśnie wysłał maila wymuszającego reset hasła do niektórych użytkowników.

League of Legends

League of Legends

Wiadomość informuje o wycieku takich danych jak:

  • nazwa użytkownika,
  • e-mail,
  • solone hashe haseł
  • niektóre zestawy imion i nazwisk

Ale to niestety nie wszystko. Włamywacze uzyskali także dostęp do 120 000 transakcji z kartami kredytowymi z 2011 roku (numery kart były hashowane).

LoL będzie informował e-mailowo dotkniętych włamaniem użytkowników. Dodatkowo, wszyscy gracze z Ameryki Północnej będą musieli ustawić nowe hasło do swojego konta, a niebawem wprowadzone zostanie podwójne uwierzytelnienie przy krytycznych zmianach na koncie realizowane w formie kodu wysyłanego SMS-em.

Pełną treść e-maila z informacją o włamaniu można znaleźć tutaj.

Dziękujemy grocalowi za informację!

Przeczytaj także:

22 komentarzy

Dodaj komentarz
  1. tak widzialam ze to “LulzSec zrobilo https://twitter.com/proHarris

  2. LOL :P

  3. Przymusowa zmiana hasła obejmuje nie tylko Amerykę Północną, ale też Europę :)

  4. no cóż, ciekawe jak to się potoczy ale fanboye doty i tak beda mieli chwile radosci ze maja argument do hejtowania lola.

    • DotA is better than League Of Legends. You can’t deny it. :)

    • +1 UNS :D

  5. Narzucenie zmiany hasła jest na WSZYSTKICH serwerach więc pewnie wyciek był większy niż tylko NA

  6. nie do konca ja gram na polskiej europie i zadnego mejla nie dostałem. A zarejestrowany jest prawie od oficjalnej premiery

  7. Numery kart byly hashowane? To ma jakis sens? Przeciez to tylko cyfry, wiec zdjac hash z kazdej karty nie bedzie problemem. Czy sie myle?

    • dobrze myslisz. odhashowanie numerów kart kredytowych to banał jelsi trzymane są w standardowej postaci (po 4 cyfry z delimiterem pomiedzy kazdym członem cyfr)

    • Do tego walidacja algorytmem Luhna i już nam odpada ileś numerów do sprawdzenia.

    • tym bardziej ze numer karty to 20 cyfr, z czego tylko trzy środkowe człony 4 cyfrowe (12 cyfr) sa unikalnym numerem, pozostale 8 cyfr poprostu się oblicza. Bruteforce na hashcat z gpu nie zajmie długo. Jedyny problem to delimiter (o ile woogle jakis jest, prawdopodobnie jest to ciag 20 cyfr).

    • To nie musi być takie proste dla atakującego – zależy jak to zaimplementujesz:
      1. Każdy numer karty solisz indywidualną solą i dopiero haszujesz sha(sól + PAN). Nawet znając sól, musisz generować tablice dla każdego rekordu.
      2. Można robić hasz hasza w pętli: sha(sha(sha(….))), co wydłuży czas generowania tablic.
      3. Jest możliwe że atakujący wykradł tylko bazę, więc nie jest w stanie odgadnąć ile razy haszujesz hasz (patrz punkt 2). Bez znajomości tego parametru atakujący ma dodatkowo utrudnione zadanie.
      Osobiście odradzałbym trzymanie numeru karty w formie haszu, ale PCI DSS na to pozwala. Jak ktoś ma jakieś ciekawe pomysły na zabezpieczenie hasza to niech się podzieli :)

    • Zawsze można odpowiednio posolić ;)

    • @hmm:
      16 cyfr. Poza tym, reszta komentarza dość chaotyczna… nie wiem do końca, o co tam chodziło, ale chyba nie masz zbyt dużego pojęcia o temacie.
      @Joan (i tak ogólnie):
      VISA i MC doradzają *szyfrowanie* (tak, szyfrowanie), lub “tokenizację” (przez co rozumieją hashowanie lub zrobienie szyfrowanego, kontrolowanego środowiska do mapowania na numery kart i spowrotem). Polecają też hashować cały numer karty, co jest w praktyce niemożliwe w sposób bezpieczny (tj. ze zmienną solą), bo wtedy ich wyszukiwanie w nietrywialnie dużych bazach zajmowałoby wieczność (hint: Tobie złamanie tych hashy, i.e. sprawdzenie przy wyszukiwaniu, zajmuje tyle samo lub więcej, co atakującemu). Ich propozycją jest stała sól, ale chyba nie słyszeli o tablicach tęczowych (które dla kart dużo miejsca nie zajmą)…
      Jedyny w 100% słuszny komentarz na temat, jaki widziałem, jest taki, że numery kart są z natury niebezpieczne. Po prostu nie da się zabezpieczyć czegoś, gdzie efektywny keyspace to max. milion kluczy. Dlaczego milion?
      Pierwsze 6 cyfr: identyfikator banku / rodzaju konta. Listy są powszechnie dostępne, a cracker zaczyna zgadywanie od tych najpopularniejszych (BoA itp.).
      Ostatnie 4: często konieczne do wyszukiwania, wyświetlania itp.
      Ostatnia 1: suma kontrolna, eliminująca 90% wpisów (więc można sprawdzić tylko 100k wpisów zamiast 1M, jeżeli np. hashe są drogie).

      Istnieją kombinacje technik, które pozwalają znacząco wydłużyć czas łamania hashy numerów kart, nawet, jeśli składujemy część numeru karty. A składowanie cześci numeru jest o tyle ważne, że umożliwia np. wyszukiwanie, deduplikację (index), i inne ciekawe operacje.
      Aha, i hashowanie części numeru osobno nie ma żadnego sensu ;)

      Ogółem, 16-cyfrowe numery kart były ogromnym błędem, którego teraz już nie da się naprawić, i za który cały przemysł musi słono płacić. Być może szyfrowanie homomorficzne tutaj pomoże, ale na pierwszą działającą technikę przyjdzie nam jeszcze poczekać. Być może, gdy powstanie, płatności kartami w tym zepsutym od początku systemie będą już u schyłku…

    • A po co w ogóle zapisywać ten nr karty? o_O

    • @Kagomeko
      Na przykład, żeby móc stwierdzić, czy dana karta była już “widziana”. Całość nazywa się Risk Management, i jeśli go nie prowadzimy (tj. pozwalamy, by zbyt dużo oszustów płaciło kradzionymi kartami, lub w domyśle kradzionymi kartami kogoś innego, co potem wyjdzie na jaw, a my nie zareagowaliśmy), to przychodzą smutni panowie w czarnych garniturach z napisem VISA Private Enforcement lub MasterCard Compliance & Infiltration Squad, i to nasza ostatnia przygoda z bankami w ogóle. (Trochę podkolorowane, ale mam licencję poetycką w wersji trial 14 dni, więc mi póki co wolno…)

      Oczywiście, risk management jest konieczny tylko dlatego, że w karty płatnicze nie jest wbudowany żaden naturalny mechanizm uwierzytelniania. Gdyby istniał jakiś system haseł/tokenów, to transakcje raczej nie potrzebowałyby takiego filtrowania. Oczywiście, problemów w tym zakresie jest całe mnóstwo (np. man-in-the-middle nawet na transakcje zabezpieczone EMV, bo wyświetlacz na karcie z tytułem transakcji i przyciski Accept/Decline), i nikt nie chce ich rozwiązać. Taniej jest zrzucić po prostu na banki, instytucje przetwarzania transakcji, i klientów, całe koszty potencjalnych oszustw. Alternatywą byłoby zrzucenie na klientów detalicznych kosztów zabezpieczeń (chipy, sprzęt do kart).

      Wymyślono wprawdzie protokół 3-D Secure, ale jest bardzo mało rozpowszechniony, głównie z powodu na trudność implementacji, w tym zburzenie tradycyjnego modelu klient – serwer sprzedawcy. Wymaga też dodatkowej pracy (kosztów) po stronie banku, więc nie wszystkie go oferują, a zwykle i tak wymagają ręcznego włączenia.

      (Swoją drogą, pracuję w firmie przetwarzającej transakcje, działającej jako pośrednik między bankiem a sklepem – dla nas więc rozpoznawanie kart, “inteligencja transakcyjna” i bezpieczeństwo są podstawą. Podłączamy sprzedawców do banków, robimy za nich risk management i ogólnie panel zarządzania + wszystkie umowy => profit dla sprzedawcy i dla nas.)

  8. Jak dobrze, że nie gram w to gówno. Heroes of Newerth FTW!

    • Dlaczego takie komentarze nie są moderowane, bo wydaje mi się, że raczej nic pożytecznego do dyskusji nie wnoszą?

  9. “LoL właśnie wysłał maila wymuszającego reset hasła do niektórych użytkowników.”
    Polska, język trudno napisał gramatyka. ;)

    • Ja tu nic złego nie widzę… Po za tym to nie jest portal o języku polskim.

  10. Ja 3 godziny temu dostałem maila z resetem hasła do konta orgin więc może i tam coś się dzieje.

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: