Furto di credenziali per 2,2 milioni di utenti di siti di gaming e criptovalute
Dati sulle password e altre informazioni online di 2,2 milioni di utenti di due servizi, un wallet di criptovalute e un bot per l'MMO RuneScape, sono stati pubblicati online secondo Troy Hunt, il noto esperto australiano di sicurezza
di Rosario Grasso pubblicata il 20 Novembre 2019, alle 10:21 nel canale SicurezzaSono stati violati 1,4 milioni di account del servizio di wallet per criptovalute GateHub e 800 mila account di EpicBot, un bot per il famoso MMO RuneScape. Lo segnala l'esperto di sicurezza Troy Hunt, conosciuto sulla rete per aver creato Have I Been Pwned?, un sito Web di ricerca sulla violazione dei dati che consente agli utenti non tecnici di vedere se le loro informazioni personali sono state compromesse.
I database erano crittografati con Bcrypt, una funzione tra le più difficili da violare. Nel caso del sito di servizi per criptovalute, secondo Hunt sarebbero stati violati anche gli hash dei wallet, anche se GateHub esclude compromissioni alla sicurezza degli hash. Hunt ha dichiarato di aver selezionato un campione rappresentativo di account da entrambi i database per verificare l'autenticità dei dati. Tutti gli indirizzi email in cui si è imbattuto appartenevano a effettivi membri dei due siti.
Già nello scorso mese di agosto GateHub aveva ammesso di aver subito un furto di credenziali per circa 18 mila account registrati al suo servizio, "una frazione molto piccola della nostra base di utenti". Quanto sta riportando adesso Hunt, però, lascia intendere che la compromissione della sicurezza al sito di criptovalute è stata più grande rispetto a quanto si pensasse in un primo momento. Sono stati violati non solo i token di accesso, ma anche le chiavi per l'autenticazione a due fattori, gli indirizzi e-mail, le password, le informazioni per il recupero delle credenziali e, probabilmente, gli hash dei wallet.
Nello stesso giorno in cui il database di GateHub è diventato pubblico su RaidForums, lo stesso è successo con i dati di EpicBot. Entrambi i servizi usano Bcrypt, una funzione di hashing di password. Viene considerata come una funzione avanzata adattiva resistente ad attacchi di forza bruta anche con capacità computazionale crescente. Il livello di sicurezza dipende, però, dal tipo di implementazione che viene fatta di Bcrypt: veniva usata, infatti, anche da Ashley Madison nel momento del famoso attacco del 2015.
Gli utenti di EpicBot dovrebbero cambiare il prima possibile la loro password, mentre quelli di GateHub sono stati obbligati a farlo già a luglio. In entrambi i casi le frasi di backup andrebbero sostituite.
28 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - infoChe dice il GDPR nel caso in cui gli utenti violati siano europei?
che poi a parte questo, un giorno vale 10 e poi tra qualche tempo vale 100 poi scende a 1 inciulata galattica, o sei un indovino oppure meglio andare a giocare due spicci al lotto!!
Probabilmente ti vien da ridere perché ancora non hai capito niente di come funzionano le cose.
Perché tu diresti che una cassaforte è insicura perché hai dato la chiave alla moglie e lei te l'ha persa?
Perché tu diresti che una cassaforte è insicura perché hai dato la chiave alla moglie e lei te l'ha persa?
no perchè la chiave della mia cassaforte ce l'ha LA BANCA, istituzione regolata e sulla quale posso rivalermi, con dei criteri di sicurezza precisi stabiliti per legge e obbligatori, proprio per tutelare i cittadini sprovveduti come me che non ne capiscono un tubo.
tu la chiave del wallet te la gestisci per conto tuo e non hai nessuna tutela giuridica in caso di furti, o in caso in cui il provider del wallet decida da un momento all'altro di tirare lo scam e chiudere i battenti, e stessa cosa vale per le piattaforme exchange.
tu la chiave del wallet te la gestisci per conto tuo e non hai nessuna tutela giuridica in caso di furti, o in caso in cui il provider del wallet decida da un momento all'altro di tirare lo scam e chiudere i battenti, e stessa cosa vale per le piattaforme exchange.
Tu hai parlato di non sicurezza delle criptovalute.
A parità di condizioni, le criptovalute sono più sicure delle banche.
Se poi ci metti di mezzo enti terzi, tutele giuridiche e assicurazioni varie, è un altro discorso. Ma queste "aggiunte", volendo, potrebbero essere applicate anche alle criptovalute.
Il punto principale è che voi confondete la sicurezza della tecnologia, con l'affidabilità di chi tiene in tasca la password...
Ricordo che su Tom's in un articolo consigliavano di usarle come fondo pensione integrativo.
So' ragazzi.
So' ragazzi.
Ma veramente? Quando ci si dissocia dal buon senso...
Eh, perché no!?
Eh, perché no!?
Era pinamente titolato a parlarne e consigliarlo in virtù della lunga esperienza, possedeva all'epoca ben 0,5 ETH, pari a circa 127 euro...
Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".