Databáze uživatelských účtů s různými připojenými informacemi jsou pro více či méně zkušené hackery vždy velkým lákadlem. Stalo se tradicí, že jednou za čas dojde k prolomení hůře zabezpečených systémů, ať už vinou vnitřního útoku či chyby zaměstnance, nebo v rámci standardního napadení zvnějšku. Během nedávných dnů se posledně zmíněný problém nevyhnul ani herní společnosti Blizzard, jak jsme vás informovali v dřívější zprávičce:
Blizzard ústy samotného Mika Morhaime varuje o průniku do vnitřní sítě. Neznámý hacker či hackeři získali e-maily hráčů, informace o autentikátorech, s tím spojené bezpečnostní otázky a kryptovanou verzi hesel hráčů z regionu Severní Amerika (Blizzard v oznámení uvádí, že pro hesla používá SRP, Secure Remote Password Protocol). Co se hackerům pravděpodobně získat nepodařilo, jsou skutečná jména hráčů a finanční informace (čísla karet, adresy).
Oproti některým dřívějším kauzám jiných společností je alespoň částečné štěstí v neštěstí hned v postoji Blizzardu. O bezpečnostním incidentu se firma nepokoušela nijak mlžit, přímo na svých stránkách v oficiálním prohlášení hned upozornila hráče, informovala o odhalení neautorizovaného přístupu k datům a zahájení vyšetřování. Jde tak o značný kontrast s krádeží osobních informací v dobře známé kauze Sony, ke které došlo přibližně před rokem – tehdy nebylo ještě zhruba týden po mlživém oznámení jasné, zda z nabourané databáze unikly také informace o platebních kartách.
Tvůrci známých herní legend World of Warcraft, Starcraft nebo Diablo postiženým uživatelům doporučili, aby změnili své přihlašovací údaje, a to především v rámci severoamerického regionu. Díky využití standardního protokolu SRP a ukládání hesel v šifrované podobě tedy hráči mohou být poměrně klidní, jelikož při použití silného kryptografického algoritmu nejde odizené přihlašovací údaje zneužít. Hlavní komplikací tak pro klienty zůstává především zisk kompletní databáze e-mailů, následně pak otravná změna hesla, resp. bezpečnostní otázky či instalace mobilního autentikátoru.
Za peníze cokoliv
U některé z menších služeb by riziko zneužití údajů nemuselo být nijak kritické, nicméně zde se jedná o velké množství uživatelských účtů, tedy pořádnou porci osobních informací (kam lze e-mailové adresy spojené s konkrétními osobami řadit). Hlavní podezření ze spáchání útoku v době psaní tohoto článku ještě na nikoho nepadlo, po pachatelích se nadále pátrá – standardní legislativní cestou i ve spolupráci s bezpečnostními odborníky společnosti Blizzard.
Ať už útočníci dokážou využít různé šifrované informace či nikoliv, poskytuje jim stávající ukradená databáze funkčních e-mailových adres slušnou porci zneužitelných informací. Miliony adres mohou posloužit při dalších útocích, cíleném zasílání spamu apod. Problém je zde také v dané kombinaci registračního e-mailu k herní síti, jelikož řada uživatelů používá jedno heslo k více službám. Nemusí jít konkrétně o případ databáze Blizzardu, ale obecně lze pak údaje možné spárovat (pokud není použito silné šifrování) a pokusit se proniknout do dalších služeb jednotlivých obětí. Samozřejmě pokud tak již podvodníci neučinili během několika dnů, které následovaly po odcizení databáze a oficiálním oznámení ze strany provozovatelů.
A proč vlastně útočníci cílí na přihlašovací údaje, resp. kompletní související databáze? Nelegální obchod s databázemi se dá s trochou nadsázky přirovnat k prodeji kteréhokoliv jiného artiklu. Je libo základní výbavu v podobě přihlašovacích údajů uživatelů dle služby? Nebo konkrétní podskupinu podle vybrané geografické oblasti? Či si připlatíte za rozšíření ztělesněné přidruženými e-mailovými adresami? Přesně taková je nabídka jednotlivých variant dostupných databází. Zdrojem přitom mohou být systematické sběry citlivých dat prostřednictvím rozsáhlých botnetů, stejně jako cílené útoky na konkrétní databáze. I zde tedy platí, že útočníci získají na první pohled nevinná data, která však hned v druhé vlně dokážou pořádně zpeněžit.
Kompletní informace dle libosti
Po prolomení ochrany konkrétní služby (nyní se již nebavíme o herních účtech v rámci serverů Blizzard, ale obdobných službách obecně), si bude cracker jen stěží vybírat pouze data, která patří aktuálně aktivním a zaregistrovaným či jinak význačným uživatelům. Pak už nezbývá než doufat, že provozovatel nasadil dostatečně zabezpečené technologie, což ale u řady webových služeb v podmínkách při registraci často pochopitelně nenajdete. Postižitelnou skupinou nejsou jen internetoví trpaslíci, ale i větší sítě s uživatelskými údaji, viz například dřívější kauzy Sony a Sega. Blizzard se v rámci herních a zábavních společností přidává do pomalu ale jistě se prodlužujícího nekonečného zástupu organizací, které v budoucnu podlehnou.
Jakmile dojde ke kterémukoliv bezpečnostnímu incidentu, tím spíš v případě natolik rozsáhlé webové služby, kterou jsou právě servery společnosti Blizzard, musí být přijata odpovídající opatření a uživatelé dostatečně informováni. U řady podobných služeb se v podmínkách použití nachází sekce o zřeknutí se jakékoliv odpovědnosti v případě problémů. To, že s podmínkami je zapotřebí souhlasit během vytváření účtu, snad ani netřeba zmiňovat.
Krádež e-mailové databáze z herní sítě pod záštitou společnosti Blizzard je pouze jedním z případů, jejichž množství může do budoucna narůstat. Samozřejmě platí, že čím populárnější služba je, tím vděčnějším cílem se stává. Ano, i do budoucna se málokdo bude snažit prolomit přístupové mechanismy nebo specifická data, nicméně populární služby s co největším renomé budou hlavním lákadlem, a tak se už nyní obdobné problémy stupňují.
Jak jste na tom s „prozrazováním“ reálných e-mailových adres nebo souvisejících potenciálně citlivých informací vy? Vyplňujete kompletně registrační formuláře i mimo povinné položky? Podělte se o své zkušenosti a obavy s ostatními čtenáři v diskuzi pod článkem.
