Das "Dota 2" Forum wurde im Juli gehackt und wir hören gerade davon - Rechnen - 2019

Anonim

Wenn Sie ein Mitglied des Dota 2- Forums sind, das mit dem beliebten Multiplayer-Online-Spiel verbunden ist, wäre jetzt wahrscheinlich ein guter Zeitpunkt, um Ihr Passwort für die Seite und möglicherweise auch für andere Online-Dienste zu ändern. Eine neue Website zur Meldung von Sicherheitsverletzungen namens LeakedSource meldet, dass das Forum am 10. Juli 2016 gehackt wurde. Dabei wurden 1, 923, 972 Datensätze mit jeweils einer E-Mail-Adresse, einer IP-Adresse, einem Benutzernamen, einer Benutzer-ID und einem Kennwort veröffentlicht.

Laut dem Bericht werden die Passwörter des Forums auf den Servern von Valve Software mit Hilfe von MD5-Hashing und einem Salt gespeichert. Bei letzterem handelt es sich um Zufallsdaten, die als zusätzliche Eingabe in das Passwort eingegeben werden, um die Informationen zu "verschlüsseln". Allerdings ist das veraltete MD5 nicht gerade der sicherste Algorithmus für das Hashing eines Passworts, da es vor allem mit Schwachstellen gefüllt ist und durch einen Brute-Force-Angriff umgekehrt werden kann. LeakedSource gab an, dass es über 80 Prozent der Hash-Passwörter in ihre Klartextwerte konvertieren konnte.

"Es ist ein schneller und speichererhaltender Algorithmus", heißt es vor einigen Jahren in einem Stack-Exchange-Thread. "Das bedeutet, dass ein Angreifer den Hash einer großen Anzahl von Kennwörtern pro Sekunde berechnen kann. Mit spezieller Hardware (wie FPGA Arrays oder ASICs) im Wert von ein paar tausend Dollar können Sie die Hashes aller möglichen 8-stelligen Passwörter für ein gegebenes Salz in wenigen Stunden berechnen. "

Auf der E-Mail-Front zeigt der Bericht eine Liste von 56 E-Mail-Domänen, die für die Registrierung für das Dota 2- Forum verwendet wurden. Zu den Top 10 gehören Google Mail mit 1, 086, 139 Nutzern, gefolgt von Hotmail, Yahoo, Mail.ru, Outlook, Sina, Ymail, Cmail, AOL und MSN. Der Bericht fügt hinzu, dass die Liste auch einige Einweg-E-Mails enthält, was bedeutet, dass sie nur vorübergehend sind und wahrscheinlich nur für dieses spezielle Forum verwendet werden.

Weitere Berichte weisen darauf hin, dass Valve Software eine ältere Version der vBulletin-Software verwendet, die zur Ausführung des Forums verwendet wird. Offensichtlich gibt es eine SQL-Injection-Schwachstelle in der Plattform, die es Hackern erlaubt, SQL-Anweisungen in ein Eingabefeld zu injizieren, um einen Befehl auszuführen, wie zum Beispiel den Datenbankinhalt des Forums in eine große Datei zum Herunterladen abzulegen. SQL ist eine Programmiersprache, die zum Verwalten von Daten in einem Datenbankverwaltungssystem verwendet wird.

Dota 2- Spieler, die besorgt sind, dass Hacker Zugang zu ihren Zugangsdaten erhalten, können die Datenbank von LeakedSource durchsuchen, indem sie hier klicken. Wenn Ihre Informationen zufällig im Dota 2 -Datenpool oder in einer anderen gesickerten Datenbank von LeakedSource liegen, können Sie diese vertraulichen Informationen kostenlos aus der Website-Kopie entfernen. Ihre Informationen werden jedoch weiterhin in den Händen von Hackern liegen.

Der erste von LeakedSource bereitgestellte Bericht scheint der 30. März dieses Jahres zu sein und besagt, dass Mate1.com im Oktober 2015 gehackt wurde. LeakedSource hat eine Kopie der Website-Datenbank mit 27, 403, 958 Konten erhalten. Passwörter wurden Berichten zufolge in einfachem, sichtbarem Text gespeichert, was ergab, dass die Website keine Verschlüsselung zum Schutz von Benutzerkonten verwendete. Das am häufigsten verwendete Passwort war "123456" gefolgt von "123456789" und "123". Ernsthaft?

Bislang hat Valve Software keine Stellungnahme zu LeakedSources Bericht über den Juli- Dota-2- Forum-Hack abgegeben.