Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book
Zmasowana akcja na użytkowników gier? Miliony wyciekniętych kont w krótkim czasie.
W krótkim czasie mogliśmy obserwować wycieki z :
- Armor Games (10 milionów kont)
- Forum Clash of Kings (1.5 milion kont)
- Snail Games (1.5 milionów kont)
- Mind Jolt (28 milionów rekordów z danymi)
- Stronghold Kingdoms (5 milionów rekordów)
- I kilku innych
Czasem wycieki były świeże (parę miesięcy), a w innym przypadku mniej świeże ale prawdopodobnie wystawione dopiero teraz (po raz kolejny?) na sprzedaż. Jakość przechowywania haseł zazwyczaj nie jest wysoka (np. cały czas niektórzy używają algorytmu MD5()). W każdym razie na potrzeby gier sugerujemy skonfigurować osobny mail, unikalne hasło i najlepiej nie podawać żadnych danych osobowych.
–ms
podejrzewam, że niektórzy nadal używają do szyfrowania haseł algorytmu plaintext()
E tam konta to jeszcze nic nad tym mozna zapanowac bez wiekszego wysilku. Znam gre (lecz nie tylko ona jedyna jest taka, bo wszystkie gry sieciowe sa tak samo podatne) przez ktora mozna bezposrednio hakowac komputery, wystarczy np przeslac spreparowany plik gry albo przeprowadzic dll injection (i pochodne techniki, chociaz po zastosowaniu specjalnego oprogramowania jakim jest np battleeye to troche utrudnia sprawe), obydwa sposoby prowadza do wstrzykniecia kodu do pamieci procesu gry, mozna tez probowac wstrzykiwac kod przy pomocy proxy ale to ponoc bardziej skomplikowane i nawet sandbox tu nie pomoze bo gra zglasza alert ze nie ma dostepu do swoich plikow (przynajmniej w moim przypadku tak sie dzialo), dodatkowo gra prosi o uprawnienia admina (wina m.in programu battleeye) bo korzysta z folderu AppData itp. Mi sie prawie udalo przeprowadzic dll injection (tak dla zabawy ale tez i dla dobudowania wlasnego zabezpieczenia) probujac odtworzyc funkcje programu filtrujacego (battleeye) i dopisac wlasny kod, jedynym utrudnieniem jakie bylo to funkcja ktora przed startem gry porownuje sume md5 wszystkich plikow z suma w bazie na serwerze. Ci co maja lepsze kompy do tego typu gier instaluja system w virtualbox i w ten sposob troche sie zabezpieczaja albo maja oddzielne kompy. A nie wspomne juz o tym ze w regulaminie gry jest zakaz uzywania VPNow, TORow itp a to m.in. dlatego ze inni gracze maja lagi, niezaleznie jakie maja lacze sieciowe i dodatkowo jak prowadzi sie streaming to juz wgl nie ma co grac, zdarza sie ze ludzie dostawali za to bana nawet bo admini traktowali to jako atak DDOS.
Sądząc po alertach na skrzynkach mailowych to i tak brute-force jest najpopularniejszy.
Klientami gier są zazwyczaj dzieci, wiec i hasła może proste.
Najbardziej mi się podoba tymczasowa blokada konta po nieudanym logowaniu. Jak kiedyś wspomniano, najlepiej gdyby blokada dotyczyła konta, a nie IP.
Blokadę można wyłączyć klikając w link dostarczony wraz z alertem w skrzynce pocztowej.
A wiecie ile tam służbowych maili? Założę się że połowa z tego ma identyczne hasło do firmowych zasobów.