image

Forum Epic Games weer gehackt, wachtwoorden gestolen

woensdag 15 juli 2015, 14:17 door Redactie, 4 reacties

Aanvallers zijn er weer in geslaagd om het forum van spelontwikkelaar Epic Games te hacken en hebben daarbij waarschijnlijk gegevens van gebruikers buitgemaakt. Het gaat om e-mailadres, wachtwoord, gebruikersnaam en geboortedatum. Epic Games meldt niet dat de wachtwoorden gehasht waren opgeslagen. Daarnaast krijgen getroffen gebruikers het advies dat als ze het forumwachtwoord op een andere website gebruikten, ze het daar direct moeten aanpassen.

Sommige gebruikers vragen zich vanwege deze uitleg nu af of de wachtwoorden in platte tekst waren opgeslagen. Mocht de database inderdaad zijn gestolen, dan zou dit inhouden dat de aanvaller deze wachtwoorden direct kan bekijken. Epic Games is bekend van spellen als Unreal Tournament, Gears of War en verschillende andere titels. In een e-mail aan forumgebruikers laat de ontwikkelaar weten dat de fora van de spellen UDK, Infinity Blade, Gears of War, Bulletstorm en eerdere Unreal Tournament spellen getroffen zijn, zo meldt gamingsite Kotaku.

Inmiddels is er een beveiligingsbedrijf ingeschakeld en is van alle gebruikers het wachtwoord gereset. Het forum is op het moment echter uit de lucht gehaald. Uit een gecachte versie van het forum blijkt dat het 262.000 geregistreerde gebruikers heeft. Het is niet voor het eerst dat aanvallers erin slagen om toegang tot de database van het forum te krijgen. In 2011 deed zich een soortgelijk incident voor.

Reacties (4)
15-07-2015, 14:56 door Anoniem
Erg apart. Het Salt (Cryptography) artikel op Wikipedia is gestart op 3 June 2004?, en 11 jaar later hebben ze nog geen best practice, of beter gezegd, vereiste geimplementeerd. Zelfs bij elke standaard forum software zijn de wachtwoorden op zijn minst gehashed, maar meestal ook wel met salt. Treurig.
15-07-2015, 15:50 door CommandteB - Bijgewerkt: 15-07-2015, 15:51
Door Anoniem: Erg apart. Het Salt (Cryptography) artikel op Wikipedia is gestart op 3 June 2004?, en 11 jaar later hebben ze nog geen best practice, of beter gezegd, vereiste geimplementeerd. Zelfs bij elke standaard forum software zijn de wachtwoorden op zijn minst gehashed, maar meestal ook wel met salt. Treurig.
Gaat ook om de winst niet de privacy van je klanten, waarom zou je je klanten beschermen als je daarvoor een lagere winst verkrijgt.
15-07-2015, 15:57 door Vandy - Bijgewerkt: 15-07-2015, 15:57
De beveiliging was zeker nog uit het tijdperk van Jill of the Jungle?
16-07-2015, 07:08 door Erik van Straten
15-07-2015, 14:56 door Anoniem: Zelfs bij elke standaard forum software zijn de wachtwoorden op zijn minst gehashed, maar meestal ook wel met salt. Treurig.
Niet dat ik Epic Games wil verdedigen, maar in het algemeen geldt het volgende.

Ongeacht welke methode wordt gebruikt voor het maken van een afgeleide van elk wachtwoord ("verhaspelen"), is het waarschuwen van gebruikers na een server-inbraak het beste dat je kunt doen. Daar zijn twee redenen voor.

De eerste reden is dat de aanvaller tijdens het inloggen van gebruikers kan hebben "meegekeken" en zo plain-tekst wachtwoorden kan hebben achterhaald. Als het wachtwoord normaal gesproken door de browser van de "inlogger" wordt "verhaspeld" (hash, salt, slome encryptie) kan de aanvaller de bijbehorende webpage zo hebben aangepast dat het wachtwoord plain text wordt verzonden.

De tweede reden is dat salts en/of encryptie slechts "inbraakvertragend" werken. Je moet er vanuit gaan dat de aanvaller nu ook de methode van "verhaspelen" kent, en er sprake zal zijn van individuele accounts waar een aanvaller in geïnteresseerd is, bijv. iemand met een waardevolle score in een ander spel. Als die persoon een wachtwoord gebruikt dat voorkomt in bestanden met veel gebruikte wachtwoorden, kan zijn of haar wachtwoord worden achterhaald.

Hoeveel "CPU-cycles" (geld) en tijd (geduld van de aanvallers) dat kost, worden bepaald foor de complexiteit van de "verhaspelmethode", de "eenvoud" van het echte wachtwoord ("12345" staat vaak bovenaan bestanden met veelgebruikte wachtwoorden) en geluk.

Hoe beter je opgeslagen wachtwoorden "verhaspelt", hoe meer gebruikers je waarschijnlijk beschermt, maar alle gebruikers lukt je nooit. Dat wordt erger naarmate meer gebruikers bekende wachtwoorden toepassen en/of de aanvaller langer toegang heeft tot de server.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.