afgelopen vrijdag, de enorm populaire gaming site Club Penguin herschreven (CPRewritten) leed aan een datalek dat blootgesteld vier miljoen gebruikersaccounts.
het gehackt hebben van accountgegevens zoals e-mailadressen, gebruikersnamen, IP-adressen en wachtwoorden is al erg genoeg, maar dit werd nog veel erger gemaakt door het feit dat het kwam op de achterkant van een aparte inbreuk in januari 2018 met betrekking tot 1,7 miljoen accounts, openbaar gemaakt meer dan een jaar later.
de oorzaak van de laatste inbreuk? Volgens iemand verbonden met CPRewritten die contact opgenomen nieuwssite Bleeping Computer deze week, de hack gebeurde nadat hackers toegang tot een verborgen PHP database achterdeur gezet door een voormalige site admin vorig jaar.
het is een versie van gebeurtenissen die zowel de betrokken persoon, en een hacking groep die de verantwoordelijkheid voor de hack opgeëist, beide krachtig ontkennen.
de New World Order groep die aanspraak maken op de eer voor de inbreuk zeggen dat ze gecompromitteerd de site met behulp van een kwetsbaarheid in de Adminer database administration tool. Met betrekking tot de betrokkenheid van de admin, ze twitterde dit:
…hij had er niets mee te maken. Reanimatie admins weten wie we zijn, we zijn verantwoordelijk voor de database inbreuken van vele andere CPPSes.In 2017 werd de breach-overeenkomst van juli (
CPRewritten) gelanceerd om de eerdere Club Penguin (CP) voort te zetten, die in hetzelfde jaar werd gesloten door eigenaren Disney.Een jaar later werd aangekondigd dat Club Penguin ook zou sluiten, een beslissing die een maand later werd teruggedraaid nadat er extra financiering was gevonden.
de inbreuk wordt verondersteld te zijn begonnen rond 23: 00 BST afgelopen vrijdag, ongeveer een uur waarna een admin merkte dat de middelen van de server werden zwaar gebruikt.
CPRewritten realiseerde zich pas de volgende dag dat dit verband hield met een inbreuk. Tegen de tijd dat het nam defensieve maatregelen, ze beweren dat de hackers al had geprobeerd om…
…schade records en stelen waardevolle accounts met zeldzame virtuele items verzameld uit het spel.
wat te doen
de eerste taak is om het wachtwoord van het account te wijzigen, iets wat de site waarschijnlijk van gebruikers zal vereisen om toch te doen wanneer ze weer inloggen (voor zover we kunnen zien, is de ‘hangslot’ twee-factor authenticatie nog niet beschikbaar om in te schakelen).
het feit dat de data hashes werden opgeslagen met behulp van Bcrypt zal worden gezien als goed nieuws. Echter, dit is niet een magische schild en kan nog steeds kwetsbaar voor aanvallers met genoeg tijd op hun handen.
beide inbreuken op de site werden openbaar gemaakt door de Ben ik Gepwned? (HIBP) inbreuk melding site die nu ook kan leveren waarschuwingen van nieuwe incidenten in Mozilla Firefox.