Зламані сервера CD Projekt RED, розробників Відьмака. Витекла база даних користувачів

image

Команда CD Projekt RED 4 лютого 2017 р. о 1:39(GMT +3) розіслала своїм користувачам email з попередженням про те, що їх сервера були скомпрометовані. Під атакою виявилися сервера форуму cdprojektred.com. До активного просування в Steam, під час виходу першої частини серії ігор про Відьмака, багато реєструвалися на сервері розробника. Зараз форум був практично покинутий, проте містив у своїй базі логіни, адреси електронної пошти і паролі користувачів.

Факт витоку бази даних був виявлений тільки зараз, однак сам інцидент стався в березні 2016 року. Більшість користувачів було переведено на сторонні акаунти GOG.com ще рік тому, що зробило аутентифікацію двоетапної. Однак частина користувачів не оновила свої дані. Хороша новина — паролі були хешироваными і «солоними», що робить неможливим словникову атаку на паролі і сильно ускладнює автоматичний перебір бази.

В цілому, дуже радує подібне ставлення до своїх користувачам. Команда не стала приховувати інцидент, незважаючи на низьку ймовірність компрометації користувальницьких паролів і значний час, що минув після витоку. На всякий випадок змініть паролі і уточніть свої налаштування безпеки в інших акаунтів, якщо реєструвалися на них з тими ж даними.

Текст оригінального листа:
Dear Forum Users,

Recently it has come to our attention that an obsolete cdprojektred.com forum database was accessed by an unauthorized party sometime in March 2016.

At the time of the event, the database was not in active use as almost a year earlier forum members had been asked to create secure GOG.com accounts for login purposes. These accounts are additionally protected by two-step authentication. The forum engine also has been upgraded since then to the newest and most secure version, fixing the vulnerability said that allowed access.

It is our understanding that the obsolete forum database contained usernames, email addresses and passwords that were hashed and «salted.» Salting is a common practice that involves adding random characters to the password when hashing to increase security. It is this a «salted hash» of a password that was stored in the database and that was accessed. Your passwords were not stored in plain text, hence they were not directly accessible by anyone.

Since you did not connect your account with the GOG.com-powered login system, your account was not migrated to the new forum and no action is required on your end. However, if you used forum your old password for any other services, it is still advisable to change it. We also suggest you never use the same password across multiple services.

From the time of the event, we've conducted additional external security tests, and we will double our efforts to ensure such situations don't occur in the future.

We would like to deeply apologize to everyone affected.

CD PROJEKT RED Forum Staff
Джерело: Хабрахабр

0 коментарів

Тільки зареєстровані та авторизовані користувачі можуть залишати коментарі.