7,6 millioner spillerkonti lækket fra populært onlinespil

Illustration: BlankMediaGames
Onlinespillet »Town of Salem« har fået lækket kontooplysninger på stort set hele spillerbasen, herunder kodeord hashet med usikker algoritme.

7,6 millioner spillere af det populære onlinespil »Town of Salem« har fået lækket oplysninger fra deres spillerkonti. Herunder 7,633,234 email-adresser. Desuden indeholdt lækagen spillernes brugernavne, IP-adresser, og hashede kodeord. Også betalingsinformationer som fuldt navn, adresse, IP-information og betalingens størrelse blev lækket.

Det skriver The Hacker News

Lækagen blev opdaget den 28. december da en kopi af spillets database anonymt blev sendt til DeHashed, som er en søgemasine til at identificere hackede databaser. Ifølge BlankMediaGames som er udvikler af »Town of Salem«, er ingen kredit-kort numre blevet lækket.

»Vi håndterer ikke penge – overhovedet. En tredje-parts betalings-formidler håndterer alt den slags,« skriver virksomhedens talsperson på spillets forum.

»Vi ser ikke dit kreditkort, betalingsinformation, eller noget af den slags. Vi har ikke adgang til de informationer,« uddyber BlankMediaGames.

Ondsindede PHP-filer og usikre hashes

Tre PHP-filer har været hackerens indgang til serveren, og er efterfølgende blevet fjernet af BlankMediaGames. Virksomheden har siden overvejet at geninstallere samtlige servere fra bunden af, for at undgå, at lignende bagdøre skal blive brugt fremadrettet.

De lækkede kodeord var ifølge BlankMediaGames hashet med et »salted MD5 hash«. Det er problematisk, da MD5-formatet tidligere har vist sig at være ganske usikkert. Eksempelvis har et tidligere datalæk af 117 millioner linkedIn kodeord, som var hashet på samme måde, vist at det var muligt at bruteforce dem og dermed få kodeordene i klartekst.

»Vi har planer om at erstatte med et mere sikkert forum som Vanilla, og skifte over til en mere sikker hashing-algoritme,« skriver BlankMediaGames efterfølgende.

Samtlige brugere anbefales at udskifte deres kodeord, også på tværs af andre tjenester, hvor de genbruger kodeordet. Da også e-mail adresse blev lækket, vil det formodentligt være ganske let at tiltvinge sig adgang til tjenester, som kun bruger kodeord og email som verifikation.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (2)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Thomas Graungaard

Er en anelse unfair at sammenligne password-sikkerheden med LinkedIn. LI var usaltet SHA1, og til dato ca. 98% er passwords er blevet afkodet.

ToS passwords var krypteret med phpass, som er saltet md5 med variabel antal runder. I dette tilfælde er hvert password hashet 2048 gange.

Så ikke nok med at hvert password her skal afkodes 1 ad gangen pga salt, men tager det også ca. 2.000 gange længere tid at teste hver kandidat.

Det sagt så er der i skrivende stund afkodet ca. 27% af passwords fra ToS lækket

Log ind eller Opret konto for at kommentere