image

Miljoenen e-mailadressen bij Blizzard gestolen

vrijdag 10 augustus 2012, 09:29 door Redactie, 5 reacties

Aanvallers zijn erin geslaagd om toegang tot het interne netwerk van spelontwikkelaar Blizzard te krijgen en daar gegevens van spelers te stelen. Blizzard, bekend van spellen als World of WarCraft, Diablo en StarCraft, heeft wereldwijd tientallen miljoenen spelers. Volgens het bedrijf is er geen bewijs gevonden dat er creditcardgegevens of echte namen zijn gecompromitteerd. "Het onderzoek loopt nog, maar tot nu toe is er niets dat suggereert dat deze gegevens zijn benaderd", zegt Mike Morhaime, Blizzard's medeoprichter en president in een verklaring.

Sommige gegevens zijn wel in handen van de aanvallers gekomen, waaronder een lijst met e-mailadressen van Battle.net gebruikers. Dit is de online dienst waar spelers verbinding mee maken om te spelen. Het gaat hier om de e-mailadressen van alle wereldwijde Battle.net gebruikers buiten China.

Wijzigen
Tevens zijn ook het antwoord op de persoonlijke vraag en informatie over de Mobile en Dial-In authenticators van spelers op Noord-Amerikaanse servers benaderd. Volgens Blizzard is dit onvoldoende om toegang tot Battle.net accounts te krijgen. De aanvallers hebben ook de gehashte wachtwoorden van deze spelers buitgemaakt.

"We gebruiken het Secure Remote Password protocol (SRP) om deze wachtwoorden te beschermen, wat is ontwikkeld om het zeer lastig te maken om het echte wachtwoord te achterhalen, en het betekent ook dat het wachtwoord individueel ontcijferd moet worden", laat Morhaime weten. Toch adviseert hij spelers op Noord-Amerikaanse servers om hun wachtwoord te wijzigen, ook voor diensten waar men het zelfde wachtwoord gebruikt.

Met dank aan Arnie en S.C. voor de tip

Reacties (5)
10-08-2012, 10:00 door Anoniem
Ik weet niet of ik op Noord-Amerikaanse servers zit, maar had toch al
voor de zekerheid het wachtwoord gewijzigd.
10-08-2012, 10:51 door Anoniem
Als je ooit een keer bent ingelogd op de Amerikaanse servers(Zoals veel mensen met downtime van D3 deden) lijkt het me wel slim wachtwoord te veranderen. Standaard zit je als het goed is op de EU servers.
10-08-2012, 12:21 door [Account Verwijderd]
[Verwijderd]
10-08-2012, 12:29 door Fwiffo
Je moet haast een lijstje bijhouden van geheime vragen die je niet meer kunt gebruiken (omdat ze gestolen zijn).
Is het verder niet gaar om de geheime vraag in plaintext op te slaan??
10-08-2012, 17:04 door Nerd
Door Fwiffo: Je moet haast een lijstje bijhouden van geheime vragen die je niet meer kunt gebruiken (omdat ze gestolen zijn).
Is het verder niet gaar om de geheime vraag in plaintext op te slaan??

hmm, ze moeten de vraag kunnen stellen. Als voor het antwoord, in tegenstelling tot een wachtwoord, word het antwoord op een geheime vraag niet "exact" verwacht. Als de geheime vraag bv is:

De naam van uw eerste werkgever:

En dit was "Pietje Putlucht BV" toen je het voor het eerst instelde, maar nu ga je dat invullen als:

p. putlucht (geen hoofdletters, niet volledige voornaam, geen "BV" erachter)

Met een hashed geheime vraag zal dan zeggen: komt niet overeen. Als dit reversable word opgeslagen, dan kan er een vergelijking worden gemaakt, en worden gezegd: is gelijk, alleen een hoofdletter verschil.

en btw, niets houd je tegen om een password grade geheim antwoord te geven:

Geheime (willekeurige) vraag: bla bla:
Antwoord op geheime vraag: AGaccDqag3Tz2ytxn4a'zk4qp[olk,q34561

en idd, dat is "makkelijk" te onthouden, maar niet heus. maar laat me je niet tegenhouden om daar dan weer wel een mooi lijstje van te maken :)
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.