Am vergangenen Freitag erlitt die äußerst beliebte Spieleseite Club Penguin Rewritten (CPRewritten) eine Datenverletzung, die vier Millionen Benutzerkonten enthüllte.
Das Hacken von Kontodaten, einschließlich E-Mail-Adressen, Benutzernamen, IP-Adressen und Passwörtern, ist auf jeden Fall schlimm genug, aber dies wurde durch die Tatsache, dass es im Januar 2018 zu einer separaten Sicherheitsverletzung kam, die 1.7 Millionen Konten betraf, die mehr als ein Jahr später veröffentlicht wurden, noch verschlimmert.
Die Ursache des jüngsten Verstoßes? Laut jemandem, der mit CPREP verbunden ist und diese Woche die Nachrichtenseite Bleeping Computer kontaktiert hat, geschah der Hack, nachdem Hacker auf eine versteckte PHP-Datenbank-Hintertür zugegriffen hatten, die letztes Jahr von einem ehemaligen Site-Administrator dort abgelegt wurde.
Es ist eine Version der Ereignisse, die sowohl die betroffene Person als auch eine Hacking-Gruppe, die die Verantwortung für den Hack übernommen hat, beide energisch leugnen.
Die Gruppe der Neuen Weltordnung, die für den Verstoß verantwortlich gemacht wird, gibt an, die Site mithilfe einer Sicherheitsanfälligkeit im Datenbankverwaltungstool Adminer kompromittiert zu haben. In Bezug auf die Beteiligung des Administrators haben sie dies getwittert:
… er hatte nichts damit zu tun. CPR-Administratoren wissen, wer wir sind, wir sind für die Datenbankverletzungen vieler anderer CPPSes verantwortlich.
Juli>
CPREP startete 2017, um den früheren Club Penguin (CP) fortzusetzen, der im selben Jahr von den Eigentümern geschlossen wurde Disney.
Ein Jahr später wurde bekannt gegeben, dass auch Club Penguin schließen würde, eine Entscheidung, die einen Monat später rückgängig gemacht wurde, nachdem zusätzliche Mittel gefunden worden waren.
Es wird angenommen, dass der Verstoß letzten Freitag gegen 11pm BST begonnen hat, etwa eine Stunde später bemerkte ein Administrator, dass die Ressourcen des Servers stark beansprucht wurden.
CPRewritten erkannte erst am nächsten Tag, dass dies mit einem Verstoß verbunden war. Zu der Zeit nahm es Abwehrmaßnahmen, sie behaupten, die Hacker hatten bereits versucht…
… beschädigen Sie Aufzeichnungen und stehlen Sie wertvolle Konten mit seltenen virtuellen Gegenständen, die aus dem Spiel gesammelt wurden.
Was zu tun ist
Die erste Aufgabe besteht darin, das Kontokennwort zu ändern, was die Benutzer auf der Website vermutlich ohnehin tun müssen, wenn sie sich das nächste Mal anmelden (soweit wir das beurteilen können, ist die Zwei-Faktor-Authentifizierung ‚Vorhängeschloss‘ noch nicht verfügbar).
Die Tatsache, dass die Daten-Hashes mit Bcrypt gespeichert wurden, wird als gute Nachricht angesehen. Dies ist jedoch kein magischer Schild und kann immer noch anfällig für Angreifer sein, die genügend Zeit zur Verfügung haben.
Beide von der Site erlittenen Verstöße wurden von der Have I Been Pwned? (HIBP) Breach Notification Site, die jetzt auch Warnungen vor neuen Vorfällen in Mozilla Firefox liefern kann.