Serwis Have I Been Pwned poinformował wczoraj, iż z powodu incydentu na forum CD Projekt RED, który wcześniej został uznany za niegroźny, łupem przestępców padły dane 1,9 miliona kont użytkowników.
Według administratora forum włam rok temu był, ale hakerzy uzyskali dostęp jedynie do danych starego forum, a od tamtego czasu użytkownicy zostali poproszeni o stworzenie lepiej zabezpieczonych kont na GOG.com. Sam silnik forum i jego zabezpieczenia ulepszono i nikt nie miałby być w stanie skorzystać z dziury drugi raz. Co więcej, nawet te stare dane, mimo wykradzenia, nie powinny być możliwe do odczytu, gdyż były zakodowane.
Vernon Roche ostrzega
Jeśli macie konto na forum CD Projekt RED, twórców popularnej gry Wiedźmin 3, powinniście zmienić do niego dane dostępowe. Serwis Have I Been Pwned poinformował na swoim Twitterze, że łupem cyberprzestępców w marcu 2016 roku padło łącznie blisko 1,9 miliona loginów, adresów e-mail i haseł zaszyfrowanych algorytmem kryptograficznym MD5, powiązanych z tym miejscem w sieci.
New breach: The CD Projekt RED forum had 1.9m accounts exposed in 2016. 67% were already in @haveibeenpwned https://t.co/LGaAniJH32
— Have I been pwned? (@haveibeenpwned) 31 stycznia 2017
W odpowiedzi na te informacje administratorzy forum CD Projekt RED opublikowali informację:
[quote style=”5″ author=”IT_Team”]Bliższa analiza danych znajdujących się w naszym posiadaniu wykazała, że osoby nieupoważnione uzyskały dostęp do bazy danych starego forum.
W chwili, gdy doszło do nieautoryzowanego dostępu, baza danych była już nieużywana, gdyż prawie rok przed zaistniałą sytuacją poprosiliśmy użytkowników o logowanie się na forum za pomocą konta GOG.com (które oferuje wyższy poziom zabezpieczeń).
Silnik, którego używa nasze forum, został również zaktualizowany do nowszej i lepiej zabezpieczonej wersji, co jednocześnie usunęło lukę, którą wykorzystano, by zyskać dostęp do starej bazy danych.
Opisywana baza danych zawierała nazwy użytkowników, adresy e-mail, oraz zaszyfrowane algorytmem MD5 i wzmocnione ciągiem zaburzającym (“zasolone”) hasła. Pomimo tego, że są one zabezpieczone, dobrą praktyką w tego typu sytuacjach jest zalecić użytkownikom zmianę hasła do forum.
Od czasu zdarzenia przeprowadziliśmy dodatkowe testy, mające na celu zwiększenie poziomu bezpieczeństwa forum. Podwoiliśmy również nasze starania, aby zapobiec podobnym sytuacjom w przyszłości.[/quote]
Brytyjski serwis IT Pro już teraz ogłosił wyciek danych jednym z największych w historii danych związanych z grami komputerowymi.
CD Projekt RED zapewnia, iż od czasu włamania poprawiono znacznie działanie silnika forum i zabezpieczono go na wypadek podobnych incydentów.