Miljoenen e-mailadressen bij Blizzard gestolen
Aanvallers zijn erin geslaagd om toegang tot het interne netwerk van spelontwikkelaar Blizzard te krijgen en daar gegevens van spelers te stelen. Blizzard, bekend van spellen als World of WarCraft, Diablo en StarCraft, heeft wereldwijd tientallen miljoenen spelers. Volgens het bedrijf is er geen bewijs gevonden dat er creditcardgegevens of echte namen zijn gecompromitteerd. "Het onderzoek loopt nog, maar tot nu toe is er niets dat suggereert dat deze gegevens zijn benaderd", zegt Mike Morhaime, Blizzard's medeoprichter en president in een verklaring.
Sommige gegevens zijn wel in handen van de aanvallers gekomen, waaronder een lijst met e-mailadressen van Battle.net gebruikers. Dit is de online dienst waar spelers verbinding mee maken om te spelen. Het gaat hier om de e-mailadressen van alle wereldwijde Battle.net gebruikers buiten China.
Wijzigen
Tevens zijn ook het antwoord op de persoonlijke vraag en informatie over de Mobile en Dial-In authenticators van spelers op Noord-Amerikaanse servers benaderd. Volgens Blizzard is dit onvoldoende om toegang tot Battle.net accounts te krijgen. De aanvallers hebben ook de gehashte wachtwoorden van deze spelers buitgemaakt.
"We gebruiken het Secure Remote Password protocol (SRP) om deze wachtwoorden te beschermen, wat is ontwikkeld om het zeer lastig te maken om het echte wachtwoord te achterhalen, en het betekent ook dat het wachtwoord individueel ontcijferd moet worden", laat Morhaime weten. Toch adviseert hij spelers op Noord-Amerikaanse servers om hun wachtwoord te wijzigen, ook voor diensten waar men het zelfde wachtwoord gebruikt.
Met dank aan Arnie en S.C. voor de tip
voor de zekerheid het wachtwoord gewijzigd.
Is het verder niet gaar om de geheime vraag in plaintext op te slaan??
Is het verder niet gaar om de geheime vraag in plaintext op te slaan??
hmm, ze moeten de vraag kunnen stellen. Als voor het antwoord, in tegenstelling tot een wachtwoord, word het antwoord op een geheime vraag niet "exact" verwacht. Als de geheime vraag bv is:
De naam van uw eerste werkgever:
En dit was "Pietje Putlucht BV" toen je het voor het eerst instelde, maar nu ga je dat invullen als:
p. putlucht (geen hoofdletters, niet volledige voornaam, geen "BV" erachter)
Met een hashed geheime vraag zal dan zeggen: komt niet overeen. Als dit reversable word opgeslagen, dan kan er een vergelijking worden gemaakt, en worden gezegd: is gelijk, alleen een hoofdletter verschil.
en btw, niets houd je tegen om een password grade geheim antwoord te geven:
Geheime (willekeurige) vraag: bla bla:
Antwoord op geheime vraag: AGaccDqag3Tz2ytxn4a'zk4qp[olk,q34561
en idd, dat is "makkelijk" te onthouden, maar niet heus. maar laat me je niet tegenhouden om daar dan weer wel een mooi lijstje van te maken :)
Deze posting is gelocked. Reageren is niet meer mogelijk.
Security Trainer
Ben jij een trainer die het leuk vindt om je hacker mindset en security-skills over te dragen aan anderen? Zie jij het als een uitdaging om hands-on securitytrainingen te verzorgen voor een divers publiek en zijn kritische vragen en eigenwijze techneuten voor jou geen probleem? Dan zoeken wij jou!
Are you ready for a challenge?