Vendredi dernier, le site de jeu très populaire Club Penguin Rewritten (CPRewritten) a subi une violation de données qui a exposé quatre millions de comptes d’utilisateurs.
Le piratage des données de compte, y compris les adresses e-mail, les noms d’utilisateur, les adresses IP et les mots de passe, est en tout état de cause assez grave, mais cela a été aggravé par le fait qu’il est survenu à la suite d’une violation distincte en janvier 2018 affectant 1,7 million de comptes, rendue publique plus d’un an plus tard.
La cause de la dernière brèche ? Selon une personne connectée à CPRewritten qui a contacté le site d’informations Bleeping Computer cette semaine, le piratage s’est produit après que des pirates aient accédé à une porte dérobée de la base de données PHP cachée mise là par un ancien administrateur du site l’année dernière.
C’est une version des événements que l’individu concerné et un groupe de piratage qui a revendiqué la responsabilité du piratage nient vigoureusement.
Le groupe New World Order qui revendique le crédit pour la violation dit avoir compromis le site à l’aide d’une vulnérabilité dans l’outil d’administration de la base de données Adminer. En ce qui concerne l’implication de l’administrateur, ils ont tweeté ceci:
… il n’avait rien à voir avec ça. Les administrateurs de RCP savent qui nous sommes, nous sommes responsables des violations de la base de données de nombreux autres CPPSE.
Violation de juillet
Cprécrit lancé en 2017 afin de poursuivre l’ancien Club Penguin (CP), qui a été fermé par les propriétaires Disney la même année.
Un an plus tard, il a été annoncé que Club Penguin fermerait également, une décision qui a été annulée un mois plus tard après la recherche de fonds supplémentaires.
La brèche aurait commencé vers 23h vendredi dernier, environ une heure après quoi un administrateur a remarqué que les ressources du serveur étaient fortement utilisées.
CPRewritten n’a réalisé que le lendemain que cela était lié à une brèche. Au moment où il a pris des mesures défensives, ils affirment que les pirates avaient déjà essayé de…
… endommagez les enregistrements et volez des comptes précieux avec des objets virtuels rares collectés dans le jeu.
Que faire
La première tâche consiste à changer le mot de passe du compte, ce que le site exigera probablement que les utilisateurs fassent de toute façon lors de leur prochaine connexion (pour autant que nous puissions le dire, l’authentification à deux facteurs « Cadenas » n’est pas encore disponible pour être activée).
Le fait que les hachages de données aient été stockés à l’aide de Bcrypt sera considéré comme une bonne nouvelle. Cependant, ce n’est pas un bouclier magique et pourrait toujours être vulnérable aux attaquants avec suffisamment de temps sur les mains.
Les deux violations subies par le site ont été rendues publiques par le Ai-je été Pwned? (HIBP) site de notification de violation qui peut également désormais émettre des alertes de nouveaux incidents dans Mozilla Firefox.