Venerdì scorso, il popolarissimo sito di giochi Club Penguin Rewritten (CPRewritted) ha subito una violazione dei dati che ha esposto quattro milioni di account utente.
Avere dati di account inclusi indirizzi e-mail, nomi utente, indirizzi IP e password hackerati è abbastanza grave in ogni caso, ma questo è stato reso molto peggio dal fatto che è arrivato sul retro di una violazione separata a gennaio 2018 che interessava 1.7 milioni di account, resi pubblici più di un anno dopo.
La causa dell’ultima violazione? Secondo qualcuno collegato a CPRewritted che ha contattato il sito di notizie Bleeping Computer questa settimana, l’hack è accaduto dopo che gli hacker hanno avuto accesso a una back door nascosta del database PHP messa lì da un ex amministratore del sito l’anno scorso.
È una versione degli eventi che sia l’individuo interessato, sia un gruppo di hacker che ha rivendicato la responsabilità dell’hack, negano strenuamente.
Il New World Order group che rivendica il credito per la violazione afferma di aver compromesso il sito utilizzando una vulnerabilità nello strumento di amministrazione del database Adminer. Per quanto riguarda il coinvolgimento dell’amministratore, hanno twittato questo:
…non c’entra niente. Gli amministratori CPR sanno chi siamo, siamo responsabili per le violazioni del database di molti altri CPPSes.
July breach
Cprescritted lanciato nel 2017 al fine di continuare il precedente Club Penguin (CP), che è stato chiuso dai proprietari Disney nello stesso anno.
Un anno dopo è stato annunciato che anche Club Penguin sarebbe stato chiuso, una decisione che è stata annullata un mese dopo dopo che è stato trovato un finanziamento extra.
Si ritiene che la violazione sia iniziata intorno alle 11pm BST di venerdì scorso, circa un’ora dopo la quale un amministratore ha notato che le risorse del server venivano utilizzate pesantemente.
Cprescritted si rese conto che questo era collegato a una violazione il giorno successivo. Con il tempo ha preso misure difensive, essi sostengono gli hacker avevano già provato a…
…danni record e rubare conti di valore con oggetti virtuali rari raccolti dal gioco.
Cosa fare
Il primo compito è quello di cambiare la password dell’account, qualcosa che il sito presumibilmente richiederà agli utenti di fare comunque al successivo accesso (per quanto possiamo dire, l’autenticazione a due fattori ‘Lucchetto’ non è ancora disponibile per l’accensione).
Il fatto che gli hash dei dati siano stati memorizzati utilizzando Bcrypt sarà visto come una buona notizia. Tuttavia, questo non è uno scudo magico e potrebbe essere ancora vulnerabile agli attaccanti con abbastanza tempo a disposizione.
Entrambe le violazioni subite dal sito sono state rese pubbliche da Have I Been Pwned? (HIBP) violazione sito di notifica che può anche ora fornire avvisi di nuovi incidenti in Mozilla Firefox.