sidste fredag, den enormt populære gaming site Club Penguin omskrevet (Cpreskrevet) lidt et brud på data, der udsatte fire millioner brugerkonti.
at have kontodata inklusive e-mail-adresser, brugernavne, IP-adresser og adgangskoder hacket er dårligt nok under alle omstændigheder, men dette blev gjort meget værre af det faktum, at det kom på bagsiden af et separat brud i Januar 2018, der påvirkede 1,7 millioner konti, offentliggjort mere end et år senere.
årsagen til det seneste brud? Ifølge en person, der er forbundet med Cpreeped, der kontaktede nyhedssiden Bleeping Computer i denne uge, hacket skete, efter at hackere fik adgang til en skjult PHP-database bagdør, der blev sat der af en tidligere site admin sidste år.
det er en version af begivenheder, som både den pågældende person og en hackinggruppe, der har påtaget sig ansvaret for hacket, begge hårdt benægter.
den nye Verdensordensgruppe, der hævder kredit for overtrædelsen, siger, at de kompromitterede stedet ved hjælp af en sårbarhed i administrationsværktøjet Adminer database. Med hensyn til administratorens involvering skrev de dette:
…han havde intet med det at gøre. CPR-administratorer ved, hvem vi er, vi er ansvarlige for databasebrud på mange andre Cppse ‘ er.
Juli brud
Cforskrevet lanceret i 2017 for at fortsætte den tidligere Club Penguin (CP), som blev lukket af ejere Disney samme år.
et år senere blev det meddelt, at Club Penguin også ville lukke, en beslutning, der blev vendt en måned senere, efter at der blev fundet ekstra finansiering.
bruddet menes at være begyndt på omkring 11pm BST sidste fredag, cirka en time, hvorefter en administrator bemærkede, at serverens ressourcer blev brugt stærkt.
Cpreected indså kun, at dette var forbundet med et brud den næste dag. Da det tog defensive foranstaltninger, hævder de, at hackerne allerede havde forsøgt at…
…skader optegnelser og stjæle værdifulde konti med sjældne virtuelle genstande indsamlet fra spillet.
hvad skal man gøre
den første opgave er at ændre kontoadgangskoden, noget siden formodentlig vil kræve, at brugerne gør alligevel, når de næste logger ind (så vidt vi kan fortælle, er ‘hængelås’ tofaktorautentificering endnu ikke tilgængelig til at tænde).
det faktum, at data hashes blev gemt ved hjælp af Bcrypt, vil blive set som gode nyheder. Dette er dog ikke et magisk skjold og kan stadig være sårbart over for angribere med tilstrækkelig tid på deres hænder.
begge overtrædelser, der blev lidt af siden, blev offentliggjort af er jeg blevet slået? (HIBP) breach notification site, der nu også kan levere advarsler om nye hændelser.