Databáze uživatelských účtů s různými připojenými informacemi jsou pro více či méně zkušené hackery vždy velkým lákadlem. Stalo se tradicí, že jednou za čas dojde k prolomení hůře zabezpečených systémů, ať už vinou vnitřního útoku či chyby zaměstnance, nebo v rámci standardního napadení zvnějšku. Během nedávných dnů se posledně zmíněný problém nevyhnul ani herní společnosti Blizzard, jak jsme vás informovali v dřívější zprávičce:
Blizzard ústy samotného Mika Morhaime varuje o průniku do vnitřní sítě. Neznámý hacker či hackeři získali e-maily hráčů, informace o autentikátorech, s tím spojené bezpečnostní otázky a kryptovanou verzi hesel hráčů z regionu Severní Amerika (Blizzard v oznámení uvádí, že pro hesla používá SRP, Secure Remote Password Protocol). Co se hackerům pravděpodobně získat nepodařilo, jsou skutečná jména hráčů a finanční informace (čísla karet, adresy).
Oproti některým dřívějším kauzám jiných společností je alespoň částečné štěstí v neštěstí hned v postoji Blizzardu. O bezpečnostním incidentu se firma nepokoušela nijak mlžit, přímo na svých stránkách v oficiálním prohlášení hned upozornila hráče, informovala o odhalení neautorizovaného přístupu k datům a zahájení vyšetřování. Jde tak o značný kontrast s krádeží osobních informací v dobře známé kauze Sony, ke které došlo přibližně před rokem – tehdy nebylo ještě zhruba týden po mlživém oznámení jasné, zda z nabourané databáze unikly také informace o platebních kartách.
Tvůrci známých herní legend World of Warcraft, Starcraft nebo Diablo postiženým uživatelům doporučili, aby změnili své přihlašovací údaje, a to především v rámci severoamerického regionu. Díky využití standardního protokolu SRP a ukládání hesel v šifrované podobě tedy hráči mohou být poměrně klidní, jelikož při použití silného kryptografického algoritmu nejde odizené přihlašovací údaje zneužít. Hlavní komplikací tak pro klienty zůstává především zisk kompletní databáze e-mailů, následně pak otravná změna hesla, resp. bezpečnostní otázky či instalace mobilního autentikátoru.
Oficiální informace o bezpečnostním incidentu na stránkách tvůrců známých her
Za peníze cokoliv
U některé z menších služeb by riziko zneužití údajů nemuselo být nijak kritické, nicméně zde se jedná o velké množství uživatelských účtů, tedy pořádnou porci osobních informací (kam lze e-mailové adresy spojené s konkrétními osobami řadit). Hlavní podezření ze spáchání útoku v době psaní tohoto článku ještě na nikoho nepadlo, po pachatelích se nadále pátrá – standardní legislativní cestou i ve spolupráci s bezpečnostními odborníky společnosti Blizzard.
Ať už útočníci dokážou využít různé šifrované informace či nikoliv, poskytuje jim stávající ukradená databáze funkčních e-mailových adres slušnou porci zneužitelných informací. Miliony adres mohou posloužit při dalších útocích, cíleném zasílání spamu apod. Problém je zde také v dané kombinaci registračního e-mailu k herní síti, jelikož řada uživatelů používá jedno heslo k více službám. Nemusí jít konkrétně o případ databáze Blizzardu, ale obecně lze pak údaje možné spárovat (pokud není použito silné šifrování) a pokusit se proniknout do dalších služeb jednotlivých obětí. Samozřejmě pokud tak již podvodníci neučinili během několika dnů, které následovaly po odcizení databáze a oficiálním oznámení ze strany provozovatelů.
A proč vlastně útočníci cílí na přihlašovací údaje, resp. kompletní související databáze? Nelegální obchod s databázemi se dá s trochou nadsázky přirovnat k prodeji kteréhokoliv jiného artiklu. Je libo základní výbavu v podobě přihlašovacích údajů uživatelů dle služby? Nebo konkrétní podskupinu podle vybrané geografické oblasti? Či si připlatíte za rozšíření ztělesněné přidruženými e-mailovými adresami? Přesně taková je nabídka jednotlivých variant dostupných databází. Zdrojem přitom mohou být systematické sběry citlivých dat prostřednictvím rozsáhlých botnetů, stejně jako cílené útoky na konkrétní databáze. I zde tedy platí, že útočníci získají na první pohled nevinná data, která však hned v druhé vlně dokážou pořádně zpeněžit.
Před nějakým časem byl hacknuta síť společnosti Sony, podezření padlo na Anonymous. Známí hackeři se pak bránili původnímu nařčení
Kompletní informace dle libosti
Po prolomení ochrany konkrétní služby (nyní se již nebavíme o herních účtech v rámci serverů Blizzard, ale obdobných službách obecně), si bude cracker jen stěží vybírat pouze data, která patří aktuálně aktivním a zaregistrovaným či jinak význačným uživatelům. Pak už nezbývá než doufat, že provozovatel nasadil dostatečně zabezpečené technologie, což ale u řady webových služeb v podmínkách při registraci často pochopitelně nenajdete. Postižitelnou skupinou nejsou jen internetoví trpaslíci, ale i větší sítě s uživatelskými údaji, viz například dřívější kauzy Sony a Sega. Blizzard se v rámci herních a zábavních společností přidává do pomalu ale jistě se prodlužujícího nekonečného zástupu organizací, které v budoucnu podlehnou.
Jakmile dojde ke kterémukoliv bezpečnostnímu incidentu, tím spíš v případě natolik rozsáhlé webové služby, kterou jsou právě servery společnosti Blizzard, musí být přijata odpovídající opatření a uživatelé dostatečně informováni. U řady podobných služeb se v podmínkách použití nachází sekce o zřeknutí se jakékoliv odpovědnosti v případě problémů. To, že s podmínkami je zapotřebí souhlasit během vytváření účtu, snad ani netřeba zmiňovat.
Krádež e-mailové databáze z herní sítě pod záštitou společnosti Blizzard je pouze jedním z případů, jejichž množství může do budoucna narůstat. Samozřejmě platí, že čím populárnější služba je, tím vděčnějším cílem se stává. Ano, i do budoucna se málokdo bude snažit prolomit přístupové mechanismy nebo specifická data, nicméně populární služby s co největším renomé budou hlavním lákadlem, a tak se už nyní obdobné problémy stupňují.
Jak jste na tom s „prozrazováním“ reálných e-mailových adres nebo souvisejících potenciálně citlivých informací vy? Vyplňujete kompletně registrační formuláře i mimo povinné položky? Podělte se o své zkušenosti a obavy s ostatními čtenáři v diskuzi pod článkem.
