De manier waarop de Franse speluitgever Ubisoft klanten gisterenavond waarschuwde dat hun gegevens bij een databasehack waren gestolen, is voor verbetering vatbaar. Ubisoft meldde dat één van de websites was gehackt om zo ongeautoriseerde toegang tot een aantal online systemen te krijgen. Tijdens het onderzoek werd ontdekt dat er gegevens uit de klantendatabase waren gestolen.

Het gaat om gebruikersnamen, e-mailadressen en versleutelde wachtwoorden. De gestolen klantgegevens werden gebruikt om de 'ongeautoriseerd toegang' te krijgen. Verder staat in de waarschuwingsmail aan klanten dat die uit voorzorg bij andere websites hun wachtwoord moeten wijzigen waar ze hetzelfde of een soortgelijk wachtwoord gebruikten.

E-mail
Volgens de uitleg van Ubisoft waren de wachtwoorden niet in platte tekst opgeslagen, maar als 'geobfusceerde waarde' die gekraakt kan worden, met name als het gekozen wachtwoord zwak was. Hoe de wachtwoorden precies waren beveiligd laat Ubisoft niet weten, stelt de Britse beveiligingsexpert Rik Ferguson van Trend Micro.

Hij vermoedt dat de wachtwoorden waren gehasht, maar niet gesalt. Hierdoor is het niet lastig voor een aanvaller om de wachtwoorden te achterhalen. Waar hij zich het meeste aan stoort is dat de e-mail ook een vooraf geauthenticeerde link bevatte om zijn wachtwoord te wijzigen.

Het invullen van het gecompromitteerde wachtwoord was hiervoor niet nodig. "Als je als bedrijf ooit je klanten moet waarschuwen, voeg dan nooit een link toe aan de resetmail. Het bevordert onveilig gedrag onder je klanten en maakt ze kwetsbaar voor de onvermijdelijke phishingaanvallen die altijd na dit soort incidenten volgen."

Volgens Ferguson is het beter dat getroffen klanten wordt verteld dat ze zelf naar de website moeten gaan om zo hun wachtwoord te wijzigen.