Nintendo potwierdza: zhackowano 160 000 kont. Kupowali nimi V-Bucksy

Ostatnio w sieci można było przeczytać sporo doniesień takich jak ta:

Podejrzewam że Nintendo mogło zostać zhackowane. Ktoś logował się na moje konto kilka razy w nocy. Moje hasło jest unikalne i nie mam na komputerze żadnego malware.

I suspect Nintendo may have had a major security breach. My account was accessed numerous times overnight. My password is a unique string and my PC is definitely clean (not that I ever login via it).

Sama firma potwierdziła nieautoryzowany dostęp do około 160 000 kont, dodając że sama infrastruktura Nintendo nie została zaatakowana oraz jednocześnie zalecając włączenie dwuczynnikowego uwierzytelnienia (2FA) – czyli łączymy z kontem aplikację Google Authenticator i nawet jeśli ktoś wykradnie nasz login i hasło – nie będzie znał dodatkowego kodu generowanego przez aplikację i wymaganego podczas logowania. Niemal wszystkie raporty potwierdzają, że włączenie 2FA załatwiło problem.

Ofiarą padły konta, do których można było logować się za pomocą NNID (Nintendo Network ID). Skąd atakujący mogli mieć loginy oraz hasła? Scenariuszy może być kilka, np.:

• W jakiś sposób udało się odzyskiwać login (np. na podstawie maila)
• Być może jedno z logowań po stronie Nintendo umożliwiało logowanie się e-mailem i hasłem (zamiast NNID oraz hasłem) – więc atakującym zostało jedynie probowanie wyciekniętych par e-mail/hasło

Konta mogą być tworzone na konsolach, co zauważmy niekoniecznie pozytywnie wpływa na złożoność tworzonego hasła (nikomu nie chce się wymyślać ani długich, ani złożonych haseł, nie mając normalnej klawiatury). Tym razem, poza dostępem do danych osobowych, atakujący kupowali V-bucksy (przynajmniej w przypadku kont do których np. podpięte było konto Paypal umożliwiające dalsze zakupy), a cała operacja rozpoczęła się przynajmniej w marcu.

–ms