Hlavní navigace

Útok na Blizzard: Nelegální obchod s databázemi jen kvete

Pavel Čepský 14. 8. 2012

Také se rádi registrujete do různých služeb a poskytujete zajímavé informace o své osobě? Útoků na podobné účty přibývá, hackeři jsou stále agresivnější a neodbytnější.

Databáze uživatelských účtů s různými připojenými informacemi jsou pro více či méně zkušené hackery vždy velkým lákadlem. Stalo se tradicí, že jednou za čas dojde k prolomení hůře zabezpečených systémů, ať už vinou vnitřního útoku či chyby zaměstnance, nebo v rámci standardního napadení zvnějšku. Během nedávných dnů se posledně zmíněný problém nevyhnul ani herní společnosti Blizzard, jak jsme vás informovali v dřívější zprávičce:

Blizzard ústy samotného Mika Morhaime varuje o průniku do vnitřní sítě. Neznámý hacker či hackeři získali e-maily hráčů, informace o autentikátorech, s tím spojené bezpečnostní otázky a kryptovanou verzi hesel hráčů z regionu Severní Amerika (Blizzard v oznámení uvádí, že pro hesla používá SRP, Secure Remote Password Protocol). Co se hackerům pravděpodobně získat nepodařilo, jsou skutečná jména hráčů a finanční informace (čísla karet, adresy).

Oproti některým dřívějším kauzám jiných společností je alespoň částečné štěstí v neštěstí hned v postoji Blizzardu. O bezpečnostním incidentu se firma nepokoušela nijak mlžit, přímo na svých stránkách v oficiálním prohlášení hned upozornila hráče, informovala o odhalení neautorizovaného přístupu k datům a zahájení vyšetřování. Jde tak o značný kontrast s krádeží osobních informací v dobře známé kauze Sony, ke které došlo přibližně před rokem – tehdy nebylo ještě zhruba týden po mlživém oznámení jasné, zda z nabourané databáze unikly také informace o platebních kartách.

Tvůrci známých herní legend World of Warcraft, Starcraft nebo Diablo postiženým uživatelům doporučili, aby změnili své přihlašovací údaje, a to především v rámci severoamerického regionu. Díky využití standardního protokolu SRP a ukládání hesel v šifrované podobě tedy hráči mohou být poměrně klidní, jelikož při použití silného kryptografického algoritmu nejde odizené přihlašovací údaje zneužít. Hlavní komplikací tak pro klienty zůstává především zisk kompletní databáze e-mailů, následně pak otravná změna hesla, resp. bezpečnostní otázky či instalace mobilního autentikátoru.

Blizzard blog

Oficiální informace o bezpečnostním incidentu na stránkách tvůrců známých her 

Za peníze cokoliv

U některé z menších služeb by riziko zneužití údajů nemuselo být nijak kritické, nicméně zde se jedná o velké množství uživatelských účtů, tedy pořádnou porci osobních informací (kam lze e-mailové adresy spojené s konkrétními osobami řadit). Hlavní podezření ze spáchání útoku v době psaní tohoto článku ještě na nikoho nepadlo, po pachatelích se nadále pátrá – standardní legislativní cestou i ve spolupráci s bezpečnostními odborníky společnosti Blizzard.

Ať už útočníci dokážou využít různé šifrované informace či nikoliv, poskytuje jim stávající ukradená databáze funkčních e-mailových adres slušnou porci zneužitelných informací. Miliony adres mohou posloužit při dalších útocích, cíleném zasílání spamu apod. Problém je zde také v dané kombinaci registračního e-mailu k herní síti, jelikož řada uživatelů používá jedno heslo k více službám. Nemusí jít konkrétně o případ databáze Blizzardu, ale obecně lze pak údaje možné spárovat (pokud není použito silné šifrování) a pokusit se proniknout do dalších služeb jednotlivých obětí. Samozřejmě pokud tak již podvodníci neučinili během několika dnů, které následovaly po odcizení databáze a oficiálním oznámení ze strany provozovatelů.

A proč vlastně útočníci cílí na přihlašovací údaje, resp. kompletní související databáze? Nelegální obchod s databázemi se dá s trochou nadsázky přirovnat k prodeji kteréhokoliv jiného artiklu. Je libo základní výbavu v podobě přihlašovacích údajů uživatelů dle služby? Nebo konkrétní podskupinu podle vybrané geografické oblasti? Či si připlatíte za rozšíření ztělesněné přidruženými e-mailovými adresami? Přesně taková je nabídka jednotlivých variant dostupných databází. Zdrojem přitom mohou být systematické sběry citlivých dat prostřednictvím rozsáhlých botnetů, stejně jako cílené útoky na konkrétní databáze. I zde tedy platí, že útočníci získají na první pohled nevinná data, která však hned v druhé vlně dokážou pořádně zpeněžit.

Anonymous a Sony

Před nějakým časem byl hacknuta síť společnosti Sony, podezření padlo na Anonymous. Známí hackeři se pak bránili původnímu nařčení

Kompletní informace dle libosti

Po prolomení ochrany konkrétní služby (nyní se již nebavíme o herních účtech v rámci serverů Blizzard, ale obdobných službách obecně), si bude cracker jen stěží vybírat pouze data, která patří aktuálně aktivním a zaregistrovaným či jinak význačným uživatelům. Pak už nezbývá než doufat, že provozovatel nasadil dostatečně zabezpečené technologie, což ale u řady webových služeb v podmínkách při registraci často pochopitelně nenajdete. Postižitelnou skupinou nejsou jen internetoví trpaslíci, ale i větší sítě s uživatelskými údaji, viz například dřívější kauzy Sony a Sega. Blizzard se v rámci herních a zábavních společností přidává do pomalu ale jistě se prodlužujícího nekonečného zástupu organizací, které v budoucnu podlehnou.

Jakmile dojde ke kterémukoliv bezpečnostnímu incidentu, tím spíš v případě natolik rozsáhlé webové služby, kterou jsou právě servery společnosti Blizzard, musí být přijata odpovídající opatření a uživatelé dostatečně informováni. U řady podobných služeb se v podmínkách použití nachází sekce o zřeknutí se jakékoliv odpovědnosti v případě problémů. To, že s podmínkami je zapotřebí souhlasit během vytváření účtu, snad ani netřeba zmiňovat.

Krádež e-mailové databáze z herní sítě pod záštitou společnosti Blizzard je pouze jedním z případů, jejichž množství může do budoucna narůstat. Samozřejmě platí, že čím populárnější služba je, tím vděčnějším cílem se stává. Ano, i do budoucna se málokdo bude snažit prolomit přístupové mechanismy nebo specifická data, nicméně populární služby s co největším renomé budou hlavním lákadlem, a tak se už nyní obdobné problémy stupňují.

Jak jste na tom s „prozrazováním“ reálných e-mailových adres nebo souvisejících potenciálně citlivých informací vy? Vyplňujete kompletně registrační formuláře i mimo povinné položky? Podělte se o své zkušenosti a obavy s ostatními čtenáři v diskuzi pod článkem.

Našli jste v článku chybu?

14. 8. 2012 17:31

Dobrý den, to je pravda, pokud se tento výraz použijete jako právnický termín. V obecné mluvě se ale dá použít v obou významech, připouští to mj. i Ústav pro jazyk český (http://prirucka.ujc.cas.cz/?slovo=zcizit&Hledej=Hledej). Každopádně, abychom nemátli, v článku jsme výraz změnili. Díky za připomínku.

14. 8. 2012 22:20

Vzhledem k fungování států a znalosti jejich IT poradců jsem raději za anarchii, než za jejich kontroly.Je to lepší, než se stát pohůnkem Microsoftu a podobných "společností"

Podnikatel.cz: Na poslední chvíli šokuje vyjímkami v EET

Na poslední chvíli šokuje vyjímkami v EET

Podnikatel.cz: Přehledná titulka, průvodci, responzivita

Přehledná titulka, průvodci, responzivita

DigiZone.cz: Digi CZ výrazně zlevnila balíček HBO

Digi CZ výrazně zlevnila balíček HBO

Lupa.cz: Google měl výpadek, nejel Gmail ani YouTube

Google měl výpadek, nejel Gmail ani YouTube

Měšec.cz: mBank cenzuruje, zrušila mFórum

mBank cenzuruje, zrušila mFórum

Podnikatel.cz: Zavře krám u #EET Malá pokladna a Teeta?

Zavře krám u #EET Malá pokladna a Teeta?

DigiZone.cz: ČT má dalšího zástupce v EBU

ČT má dalšího zástupce v EBU

Root.cz: Vypadl Google a rozbilo se toho hodně

Vypadl Google a rozbilo se toho hodně

Podnikatel.cz: Na 3. prosince se chystá protest proti EET

Na 3. prosince se chystá protest proti EET

Vitalia.cz: Mondelez stahuje rizikovou čokoládu Milka

Mondelez stahuje rizikovou čokoládu Milka

Měšec.cz: Jak levně odeslat balík přímo z domu?

Jak levně odeslat balík přímo z domu?

Vitalia.cz: Chtějí si léčit kvasinky. Lék je jen v Německu

Chtějí si léčit kvasinky. Lék je jen v Německu

Lupa.cz: Babiš: E-shopů se EET možná nebude týkat

Babiš: E-shopů se EET možná nebude týkat

DigiZone.cz: Další dva kanály nabídnou HbbTV

Další dva kanály nabídnou HbbTV

Podnikatel.cz: Dárky v podnikání. Jak je uplatnit v daních?

Dárky v podnikání. Jak je uplatnit v daních?

Měšec.cz: Air Bank zruší TOP3 garanci a zdražuje kurzy

Air Bank zruší TOP3 garanci a zdražuje kurzy

DigiZone.cz: Milan Kruml: procházka TV historií

Milan Kruml: procházka TV historií

Měšec.cz: Golfové pojištění: kde si jej můžete sjednat?

Golfové pojištění: kde si jej můžete sjednat?

Podnikatel.cz: Víme první výsledky doby odezvy #EET

Víme první výsledky doby odezvy #EET

Root.cz: Telegram spustil anonymní blog Telegraph

Telegram spustil anonymní blog Telegraph