Furto di credenziali per 2,2 milioni di utenti di siti di gaming e criptovalute

Furto di credenziali per 2,2 milioni di utenti di siti di gaming e criptovalute

Dati sulle password e altre informazioni online di 2,2 milioni di utenti di due servizi, un wallet di criptovalute e un bot per l'MMO RuneScape, sono stati pubblicati online secondo Troy Hunt, il noto esperto australiano di sicurezza

di pubblicata il , alle 10:21 nel canale Sicurezza
 

Sono stati violati 1,4 milioni di account del servizio di wallet per criptovalute GateHub e 800 mila account di EpicBot, un bot per il famoso MMO RuneScape. Lo segnala l'esperto di sicurezza Troy Hunt, conosciuto sulla rete per aver creato Have I Been Pwned?, un sito Web di ricerca sulla violazione dei dati che consente agli utenti non tecnici di vedere se le loro informazioni personali sono state compromesse.

I database erano crittografati con Bcrypt, una funzione tra le più difficili da violare. Nel caso del sito di servizi per criptovalute, secondo Hunt sarebbero stati violati anche gli hash dei wallet, anche se GateHub esclude compromissioni alla sicurezza degli hash. Hunt ha dichiarato di aver selezionato un campione rappresentativo di account da entrambi i database per verificare l'autenticità dei dati. Tutti gli indirizzi email in cui si è imbattuto appartenevano a effettivi membri dei due siti.

RuneScape

RuneScape

Già nello scorso mese di agosto GateHub aveva ammesso di aver subito un furto di credenziali per circa 18 mila account registrati al suo servizio, "una frazione molto piccola della nostra base di utenti". Quanto sta riportando adesso Hunt, però, lascia intendere che la compromissione della sicurezza al sito di criptovalute è stata più grande rispetto a quanto si pensasse in un primo momento. Sono stati violati non solo i token di accesso, ma anche le chiavi per l'autenticazione a due fattori, gli indirizzi e-mail, le password, le informazioni per il recupero delle credenziali e, probabilmente, gli hash dei wallet.

Nello stesso giorno in cui il database di GateHub è diventato pubblico su RaidForums, lo stesso è successo con i dati di EpicBot. Entrambi i servizi usano Bcrypt, una funzione di hashing di password. Viene considerata come una funzione avanzata adattiva resistente ad attacchi di forza bruta anche con capacità computazionale crescente. Il livello di sicurezza dipende, però, dal tipo di implementazione che viene fatta di Bcrypt: veniva usata, infatti, anche da Ashley Madison nel momento del famoso attacco del 2015.

Gli utenti di EpicBot dovrebbero cambiare il prima possibile la loro password, mentre quelli di GateHub sono stati obbligati a farlo già a luglio. In entrambi i casi le frasi di backup andrebbero sostituite.

Resta aggiornato sulle ultime offerte

Ricevi comodamente via email le segnalazioni della redazione di Hardware Upgrade sui prodotti tecnologici in offerta più interessanti per te

Quando invii il modulo, controlla la tua inbox per confermare l'iscrizione.
Leggi la Privacy Policy per maggiori informazioni sulla gestione dei dati personali

28 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
giovanni6920 Novembre 2019, 10:59 #1
Fino a quando non ci sono penali sufficienti per gli IT team che implementano weak hash per ignoranza o convenienza tecnica, in totale disprezzo per le credenziali degli utenti ed i loro wallet, i risultati saranno questi.

Che dice il GDPR nel caso in cui gli utenti violati siano europei?
macs31120 Novembre 2019, 11:02 #2
mi viene da ridere pensando a tutti quei montati che si raccontano (e ci raccontano, anche se ora che è passata la moda sono un pò spariti) che le criptovalute si che sono sicure, mica le banche!
theboy20 Novembre 2019, 11:22 #3
Originariamente inviato da: macs311
mi viene da ridere pensando a tutti quei montati che si raccontano (e ci raccontano, anche se ora che è passata la moda sono un pò spariti) che le criptovalute si che sono sicure, mica le banche!


che poi a parte questo, un giorno vale 10 e poi tra qualche tempo vale 100 poi scende a 1 inciulata galattica, o sei un indovino oppure meglio andare a giocare due spicci al lotto!!
marcram20 Novembre 2019, 11:41 #4
Originariamente inviato da: macs311
mi viene da ridere pensando a tutti quei montati che si raccontano (e ci raccontano, anche se ora che è passata la moda sono un pò spariti) che le criptovalute si che sono sicure, mica le banche!


Probabilmente ti vien da ridere perché ancora non hai capito niente di come funzionano le cose.
Perché tu diresti che una cassaforte è insicura perché hai dato la chiave alla moglie e lei te l'ha persa?
macs31120 Novembre 2019, 12:04 #5
Originariamente inviato da: marcram
Probabilmente ti vien da ridere perché ancora non hai capito niente di come funzionano le cose.
Perché tu diresti che una cassaforte è insicura perché hai dato la chiave alla moglie e lei te l'ha persa?


no perchè la chiave della mia cassaforte ce l'ha LA BANCA, istituzione regolata e sulla quale posso rivalermi, con dei criteri di sicurezza precisi stabiliti per legge e obbligatori, proprio per tutelare i cittadini sprovveduti come me che non ne capiscono un tubo.
tu la chiave del wallet te la gestisci per conto tuo e non hai nessuna tutela giuridica in caso di furti, o in caso in cui il provider del wallet decida da un momento all'altro di tirare lo scam e chiudere i battenti, e stessa cosa vale per le piattaforme exchange.
marcram20 Novembre 2019, 12:26 #6
Originariamente inviato da: macs311
no perchè la chiave della mia cassaforte ce l'ha LA BANCA, istituzione regolata e sulla quale posso rivalermi, con dei criteri di sicurezza precisi stabiliti per legge e obbligatori, proprio per tutelare i cittadini sprovveduti come me che non ne capiscono un tubo.
tu la chiave del wallet te la gestisci per conto tuo e non hai nessuna tutela giuridica in caso di furti, o in caso in cui il provider del wallet decida da un momento all'altro di tirare lo scam e chiudere i battenti, e stessa cosa vale per le piattaforme exchange.


Tu hai parlato di non sicurezza delle criptovalute.
A parità di condizioni, le criptovalute sono più sicure delle banche.
Se poi ci metti di mezzo enti terzi, tutele giuridiche e assicurazioni varie, è un altro discorso. Ma queste "aggiunte", volendo, potrebbero essere applicate anche alle criptovalute.

Il punto principale è che voi confondete la sicurezza della tecnologia, con l'affidabilità di chi tiene in tasca la password...
Varg8720 Novembre 2019, 12:42 #7
Originariamente inviato da: theboy
che poi a parte questo, un giorno vale 10 e poi tra qualche tempo vale 100 poi scende a 1 inciulata galattica, o sei un indovino oppure meglio andare a giocare due spicci al lotto!!


Ricordo che su Tom's in un articolo consigliavano di usarle come fondo pensione integrativo.
So' ragazzi.
Nicodemo Timoteo Taddeo20 Novembre 2019, 12:44 #8
Originariamente inviato da: Varg87
Ricordo che su Tom's in un articolo consigliavano di usarle come fondo pensione integrativo.
So' ragazzi.


Ma veramente? Quando ci si dissocia dal buon senso...
Varg8720 Novembre 2019, 12:56 #9
Nicodemo Timoteo Taddeo20 Novembre 2019, 13:03 #10
Originariamente inviato da: Varg87


Era pinamente titolato a parlarne e consigliarlo in virtù della lunga esperienza, possedeva all'epoca ben 0,5 ETH, pari a circa 127 euro...

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^