Злоумышленники проэксплуатировали уязвимость в движке vBulletin.
Разработчик популярной мобильной игры Clash of Clans финская компания Supercell сообщила о взломе форума своего сообщества. Согласно официальному уведомлению, в результате инцидента, произошедшего в сентябре прошлого года, были похищены данные (электронные адреса и зашифрованные пароли) порядка 1 млн пользователей.
В ходе атаки неизвестные хакеры проэксплуатировали уязвимость в движке vBulletin. В прошлом году с ее помощью злоумышленники также взломали поддомены Mail.ru, форумы сайтов Brazzers Epic Games , Dota 2 Dev , Clash of Kings и Ubuntu . Кроме того, в результате взлома ресурса DLH.net были похищены более 9 млн цифровых ключей Steam.
«Как сообщалось ранее, для нашего форума мы используем программное обеспечение от vbulletin.com. В настоящее время мы изучаем уведомление об уязвимости, позволившей сторонним хакерам получить незаконный доступ к некоторой информации пользователей форума, в том числе к ряду адресов электронной почты и защищенным паролям», - сообщает разработчик.
Согласно заявлению Supercell, утечка не затронула игровые учетные записи. Участникам форума компания рекомендует сменить пароли.
Ведущий аналитик «СёрчИнформ» Алексей Парфентьев:
Игровая индустрия и информационная безопасность зачастую вещи далекие друг от друга. Если речь идет об условно бесплатных или полностью бесплатных играх, разработчик ничего не обещает игрокам. Пользовательское соглашение в этом случае – документ условный, который чаще предъявляет требования к пользователю, чем к поставщику услуг или производителю. Поэтому, здесь данные пользователей защищены меньше всего.
Вообще, игровая индустрия – сфера, где об утечках информации и безопасности аккаунтов сами пользователи редко задумываются, а инциденты, как с поклонниками Clash of Clans, просто игнорируют. Отметим, что чаще всего кража игрового аккаунта ничего не дает злоумышленнику, разве что возможность для шантажа. Однако, согласно исследованию Shape Security, хакеры повторно используют похищенные учетные данные пользователей для взлома аккаунтов на других сайтах. Примерно в 2% случаев попытки оказываются успешными.
Наибольший ущерб хакеры могут нанести и пользователю, и разработчику, когда игра предполагает встроенные покупки. В этом случае, производитель игры, как и любое юридическое лицо, подчиняется локальным и международным законам о персональных данных. Использование кредитной карты для игровых покупок налагает на разработчика игры обязательство по сохранности персональных данных и обязывает принять ряд конкретных мер для защиты информации пользователей. Ответственность за утерю персданных в России предусматривает ФЗ 152.
Ян Ширмер, старший вирусный аналитик компании Avast
Такие взломы, какой произошел с форумом Supercell, опасны тем, что дают хакерам доступ к данным тысячей, а то и миллионов пользователей. В данном случае, хакеры получили адреса электронной почты, пароли, данные аккаунтов и IP-адресов. Хакеры могут сами использовать информацию или выставить на продажу в даркнете для дальнейших незаконных действий. Стоимость учетных данных в даркнете колеблется в районе 5-100 долларов США, в зависимости от курса Биткоина. Так как многие используют одинаковые регистрационные данные и пароли для входа в онлайн-сервисы, хакеры крадут большие базы пользовательских аккаунтов, чтобы получить доступ к более «полезным» сервисам, например, онлайн-банкингу.
В данном случае использовалась устаревшая версия софта vBulletin. Это определенно вина администраторов форума, которые обязаны своевременно обновлять все программы, уязвимые для хакеров.
Пользователи онлайн-игр уязвимы в той же мере, как и все, кто использует какие-либо онлайн-сервисы. Регистрируясь на сайтах, мы передаем личные данные третьим лицам, поэтому очень важно использовать уникальные и сложные пароли для любых сервисов. К тому же полезно использовать менеджер паролей, который вышлет уведомление, если злоумышленник попытается несанкционированно получить доступ к личным данным аккаунтов, привязанных к почте.
Владимир Лебедев, директора по развитию бизнеса Stack Group.
Такие утечки могут привести как к компрометации контактной информации, так и, потенциально, информации, относящейся к финансовым данным. Например, если пользователь использует данные кредитных карт при заполнении своего профиля. Также в профиле может быть указано достаточное количество дополнительной информации, которая, в свою очередь, может быть использована злоумышленниками, в частности, для целей социальной инженерии, когда, зная такую информацию о потенциальной жертве, возможно повысить доверие к себе перед третьими лицами, представившись владельцем аккаунта.
Сбор персональных данных должен сопровождаться соответствующими обязательствами оператора перед субъектом персональных данных о защите его информации. Эти нормы приняты во многих странах мира, и, соответственно, существует локальное законодательство их регулирующее. В России широко известный закон 152-ФЗ «О персональных данных» устанавливает в таком случае ответственность оператора персональных данных за подобные случаи утечек, даже несмотря на потенциальную возможность поручения обработки персональных данных третьим лицам с согласия субъекта. Поэтому в поле применения российского законодательства такие случаи должны рассматриваться и иметь правовую оценку.
От классики до авангарда — наука во всех жанрах