Blizzard Entertainment hat bekannt gegeben, dass das Unternehmen Anfang dieser Woche gehackt wurde und dabei Informationen verloren hat, die sein mobilbasiertes Zwei-Faktor-Authentifizierungssystem untergraben könnten.
Blizzard Entertainment ist Opfer einer Sicherheitslücke geworden und warnt Kunden, ihre Passwörter zu ändern.
In einer Erklärung von Blizzards Präsident und Mitbegründer Michael Morhaime gab das Unternehmen an, dass es eine entdeckt habe Anfang dieser Woche, am 4. August, „unerlaubter und illegaler Zugriff“ auf sein internes Netzwerk, der sich auf Battle.net-Konten auswirkte. Bisher hat das Unternehmen keine Beweise dafür gefunden, dass Finanz- oder Rechnungsinformationen gestohlen wurden hat bestätigt, dass einige Daten von seinen Servern, auf die illegal zugegriffen wurde, eine gewisse Sicherheit aufweisen Implikationen.
Für in Nordamerika ansässige Konten, zu denen Spieler aus Lateinamerika, Australien, Neuseeland und Südostasien gehören, konnten die Angreifer auf E-Mail-Adressen und Antworten zugreifen Sicherheitsfragen, „kryptografisch verschlüsselte Versionen von Passwörtern“, Informationen zu Blizzards Mobil- und Einwahl-Authentifikatoren und das taiwanesische Telefonsperr-Sicherheitssystem.
Bei Konten außerhalb Chinas, einschließlich Europa und Russland, wurden nur E-Mail-Adressen offengelegt. Konten mit Sitz in China waren nicht betroffen.
Das Unternehmen hat erklärt, dass die Informationen des mobilen Authentifikators möglicherweise das Zwei-Faktor-Authentifizierungsschema des Unternehmens untergraben könnten. Der mobile Authentifikator fungiert als softwarebasiertes Zwei-Faktor-Authentifizierungstoken und zeigt einen zeitbasierten Code an, den Spieler beim Anmelden eingeben müssen, wenn sie sich für die zusätzliche Sicherheit entschieden haben.
Trotz der Möglichkeit, dass die Sicherheit des Authentifikators untergraben wurde, widerruft das Unternehmen die Mobilnutzung nicht sofort Authentifikatoren, denn selbst wenn sie fehlerhaft sind, stellen sie eine zusätzliche Sicherheitsmaßnahme dar und können allein nicht dazu verwendet werden, den Kunden zu gefährden Konten.
Blizzard arbeitet derzeit an der Bereitstellung neuer Authentifizierungssoftware, es gibt jedoch keinen Zeitrahmen dafür, wann diese verfügbar sein wird.
Die verschlüsselten Passwörter selbst sind ein Ergebnis der Verwendung von Blizzard Sicheres Remote-Passwort-Protokoll, was sowohl das Hinzufügen eines Salts als auch das Hashen des Passworts des Benutzers umfasst. Bei richtiger Umsetzung sind Passwörter nicht einmal Blizzard bekannt, können nicht gestohlen werden und sind äußerst schwer nachzuschlagen Regenbogentische.
Es dauerte fünf Tage, bis Blizzard bekannt gab, dass es einen Verstoß gegeben hatte; Dies sei darauf zurückzuführen, dass das Unternehmen zunächst sein Netzwerk erneut sichern und gleichzeitig eine Untersuchung durchführen müsse, damit es über genügend Informationen verfüge, um seine Kunden korrekt zu informieren. Blizzard konnte seitdem die von den Angreifern genutzte Zugangsmethode schließen, hat jedoch nicht näher erläutert, wie sie sich Zugang verschafften.
Blizzard empfiehlt Kunden, die nordamerikanische Server nutzen, ihre Passwörter sofort zu ändern. Das Unternehmen gab außerdem bekannt, dass es die Benutzer in den nächsten Tagen dazu auffordern werde, ihre geheimen Fragen und Antworten zu ändern.
Bisher hat Blizzard jedoch keine Beweise dafür gesehen, dass die gestohlenen Informationen weitergegeben oder missbraucht wurden empfiehlt allen Benutzern, ihre Konten weiterhin zu überwachen und sich vor Phishing-Versuchen aufgrund von E-Mail-Adressen in Acht zu nehmen ausgesetzt.
Morhaime entschuldigte sich für den Verstoß und erklärte: „Wir nehmen die Sicherheit Ihrer persönlichen Daten sehr ernst und es tut uns wirklich leid, dass dies geschehen ist.“
Benutzer können Sie können ihr Passwort online ändern, und Blizzard hat auch eins zusammengestellt Seite mit häufig gestellten Fragen auf seiner Website zu dem Vorfall.