WAŻNE: Padł ostatni bastion - wewnętrzna sieć Blizzarda zhackowana!
Cytat z: Blizzard (źródło)
Drodzy Gracze i Przyjaciele,
Nawet będąc w branży dostarczającej rozrywki, nie każdy tydzień kończy się fajnie. W tym tygodniu nasza ekipa ds. bezpieczeństwa wykryła nieautoryzowany i bezprawny dostęp do naszej wewnętrznej sieci tutaj w Blizzardzie. Szybko podjęliśmy kroki mające na celu wyeliminowanie luki i rozpoczęliśmy współpracę z organami ścigania i ekspertami ds. bezpieczeństwa, aby zbadać zaistniałą sytuację.
W tym momencie nie znaleźliśmy dowodów na to, by wykradzione zostały jakiekolwiek informacje finansowe, takie jak numery kart kredytowych, adresy rozliczeniowe lub prawdziwe imiona i nazwiska. Nasze śledztwo jest w toku, ale póki co nic nie wskazuje na to, jakoby do tych informacji uzyskano dostęp.
Uzyskano dostęp do innej części danych, w tym do globalnej listy adresów email użytkowników Battle.net, poza Chinami. Ponadto, uzyskano także dostęp do odpowiedzi na sekretne pytanie bezpieczeństwa i informacje powiązane z Dial-In i Mobile Authenticatorami graczy w regionie Ameryki Północnej (w rejonie tym zazwyczaj grają gracze z Ameryki Północnej, Ameryki Łacińskiej, Nowej Zelandii i Azji Południowo-Wschodniej). Na podstawie naszej dotychczasowej wiedzy, te informacje NIE są wystarczające do przejęcia dostępu do kont Battle.net.
Wiemy też, że zakodowane przy użyciu klucza kryptograficznego wersje haseł (nie hasła właściwe) graczy z regionu Ameryki Północnej także zostały wykradzione. Do chronienia tych haseł wykorzystujemy Bezpieczny Zdalny Protokół Haseł (Secure Remote Password - SRP), który zaprojektowano, by w stopniu maksymalnym utrudnić ekstrakcję właściwego hasła. Oznacza to też, że każde hasło musiałoby być odszyfrowywane indywidualnie. Jednakże, jako środek ostrożności, zalecamy graczom z regionu Ameryki Północnej, aby zmienili swoje hasła. Prosimy kliknąć w ten link, aby zmienić swoje hasło. Ponadto, jeśli używaliście tego samego lub podobnego hasła do innych celów, rozważcie zmianę także tych haseł.
W najbliższych dniach poprosimy graczy w regionie Ameryki Północnej o zmianę swoich sekretnych pytań i odpowiedzi poprzez zautomatyzowany proces. Ponadto, użytkowników mobile authenticatorów poprosimy o aktualizację aplikacji. W ramach przypomnienia, emaile wyłudzające dane (phishingowe) będą zapewne prosić o podanie haseł lub innych poufnych danych logowania. Blizzard Entertainment w wiadomościach email nigdy nie zapyta o hasło. Wyrażamy głęboki żal z powodu zaistniałych problemów i zdajemy sobie sprawę, że możecie mieć pewne pytania. Dodatkowe informacje o sytuacji znajdziecie w tym miejscu.
Traktujemy bezpieczeństwo waszych prywatnych danych bardzo poważnie i szczerze żałujemy, że coś takiego się wydarzyło.
Z poważaniem,
Mike Morhaime
Nawet będąc w branży dostarczającej rozrywki, nie każdy tydzień kończy się fajnie. W tym tygodniu nasza ekipa ds. bezpieczeństwa wykryła nieautoryzowany i bezprawny dostęp do naszej wewnętrznej sieci tutaj w Blizzardzie. Szybko podjęliśmy kroki mające na celu wyeliminowanie luki i rozpoczęliśmy współpracę z organami ścigania i ekspertami ds. bezpieczeństwa, aby zbadać zaistniałą sytuację.
W tym momencie nie znaleźliśmy dowodów na to, by wykradzione zostały jakiekolwiek informacje finansowe, takie jak numery kart kredytowych, adresy rozliczeniowe lub prawdziwe imiona i nazwiska. Nasze śledztwo jest w toku, ale póki co nic nie wskazuje na to, jakoby do tych informacji uzyskano dostęp.
Uzyskano dostęp do innej części danych, w tym do globalnej listy adresów email użytkowników Battle.net, poza Chinami. Ponadto, uzyskano także dostęp do odpowiedzi na sekretne pytanie bezpieczeństwa i informacje powiązane z Dial-In i Mobile Authenticatorami graczy w regionie Ameryki Północnej (w rejonie tym zazwyczaj grają gracze z Ameryki Północnej, Ameryki Łacińskiej, Nowej Zelandii i Azji Południowo-Wschodniej). Na podstawie naszej dotychczasowej wiedzy, te informacje NIE są wystarczające do przejęcia dostępu do kont Battle.net.
Wiemy też, że zakodowane przy użyciu klucza kryptograficznego wersje haseł (nie hasła właściwe) graczy z regionu Ameryki Północnej także zostały wykradzione. Do chronienia tych haseł wykorzystujemy Bezpieczny Zdalny Protokół Haseł (Secure Remote Password - SRP), który zaprojektowano, by w stopniu maksymalnym utrudnić ekstrakcję właściwego hasła. Oznacza to też, że każde hasło musiałoby być odszyfrowywane indywidualnie. Jednakże, jako środek ostrożności, zalecamy graczom z regionu Ameryki Północnej, aby zmienili swoje hasła. Prosimy kliknąć w ten link, aby zmienić swoje hasło. Ponadto, jeśli używaliście tego samego lub podobnego hasła do innych celów, rozważcie zmianę także tych haseł.
W najbliższych dniach poprosimy graczy w regionie Ameryki Północnej o zmianę swoich sekretnych pytań i odpowiedzi poprzez zautomatyzowany proces. Ponadto, użytkowników mobile authenticatorów poprosimy o aktualizację aplikacji. W ramach przypomnienia, emaile wyłudzające dane (phishingowe) będą zapewne prosić o podanie haseł lub innych poufnych danych logowania. Blizzard Entertainment w wiadomościach email nigdy nie zapyta o hasło. Wyrażamy głęboki żal z powodu zaistniałych problemów i zdajemy sobie sprawę, że możecie mieć pewne pytania. Dodatkowe informacje o sytuacji znajdziecie w tym miejscu.
Traktujemy bezpieczeństwo waszych prywatnych danych bardzo poważnie i szczerze żałujemy, że coś takiego się wydarzyło.
Z poważaniem,
Mike Morhaime
FAQ dot. naruszenia bezpieczeństwa
Cytat z: Blizzard (źródło)
Czy na chwilę obecną gracze powinni podjąć jakiekolwiek działania w celu ochrony?
Choć obecnie nie ma żadnych dowodów na to, że jakiekolwiek hasła, czy dane należące do graczy zostały nadużyte, zachęcamy wszystkich graczy z serwerów Ameryki Północnej, aby zmienili swoje hasła. Kliknij tutaj, aby zalogować się i zmienić swoje hasło.
Jako środek zapobiegawczy, uruchomimy w najbliższych dniach automatyczny proces, który pozwoli wszystkim użytkownikom zmienić osobiste pytania bezpieczeństwa oraz odpowiedź. Przypomnimy również użytkownikom uwierzytelniaczy komórkowych o konieczności aktualizacji oprogramowania uwierzytelniacza.
Choć nic nie wskazuje na to, że pozyskane informacje zostały rozpowszechnione przez strony nieautoryzowane, lub że wystąpiły jakiekolwiek przypadki wykorzystania rzeczonych danych, zachęcamy wszystkich członków naszej społeczności, aby uważnie śledzili wszystkie swoje konta elektroniczne.
Gracze powinni również zwrócić uwagę na maile wyłudzające dane (phishing). Niestety, z uwagi na fakt, iż adresy mailowe zostały ujawnione, możliwe jest, iż tego typu korespondencja może być rozsyłana do naszych użytkowników. Wejdź tutaj, aby uzyskać pomoc o tym jak rozpoznawać i unikać tego typu podejrzane maile.
Jakie dane zostały narażone?
Oto zestawienie danych, do których, według naszej wiedzy, uzyskano dostęp:
Konta z Ameryki Północnej, Ameryki Łacińskiej, Nowej Zelandii i Azji Południowo-Wschodniej
Konta ze wszystkich regionów z wyjątkiem Chin (włączając w to Europę i Rosję)
Konta w Chinach
W chwili obecnej nie ma żadnych dowodów na to, że uzyskano dostęp do jakichkolwiek informacji finansowych. Dotyczy to między innymi kart kredytowych, adresów pocztowych, imion, czy innych informacji płatniczych.
Jakie informacje związane z uwierzytelniaczem komórkowym i Dial-In zostały narażone? Co z usługą Phone Lock?
W kwestii uwierzytelniaczy Dial-In (Dial-In Authenticator), uzyskano dostęp do zamaskowanych (niejawnych) numerów telefonów. Owe dane dotyczą stosunkowo niewielkiej liczby osób, które uczestniczyły w usłudze.
W kwestii uwierzytelniaczy komórkowych (Mobile Authenticator) zostały pobrane dane, które mogą potencjalnie wpłynąć na bezpieczeństwo uwierzytelniaczy komórkowych w Ameryce Pólnocnej. Nie mamy dowodów na to, aby wpłynęło to na inne regiony. Pilnie przygotowujemy aktualizację oprogramowania dla użytkowników uwierzytelniaczy komórkowych.
Ponadto wierzymy, że bezpieczeństwo fizycznych uwierzytelniaczy (tokenów) pozostało nienaruszone.
Dane związane z Phone Lock dotyczą małej liczby zamaskowanych (niejawnych) numerów telefonicznych graczy tajwańskich, którzy korzystali z tej usługi i posiadają konta Battle.net w Ameryce Północnej.
Czy bezpieczeństwo uwierzytelniaczy fizycznych zostało naruszone?
Wierzymy, że bezpieczeństwo fizycznych uwierzytelniaczy (tokenów) pozostało nienaruszone.
W jaki sposób do tego doszło?
Podobnie jak innym firmom prowadzących działalność online, zdarzyło się nam, iż strona zewnętrzna spróbowała w nielegalny sposób uzyskać dostęp do naszych struktur operacyjnych na pewnym poziomie. Stale rozbudowujemy nasze systemy bezpieczeństwa, technologie, politykę i procedury, aby chronić naszych klientów i ich gry przed wszelkiego rodzaju próbami kradzieży, które coraz częściej mają miejsce we współczesnej przestrzeni cyfrowej.
Kiedy Blizzard dowiedział się o nieautoryzowanym dostępie?
Wtargnięcie do naszej wewnętrznej sieci wykryto 4 sierpnia 2012.
Dlaczego Blizzard ujawnił ten fakt dopiero 9 sierpnia?
Od momentu wykrycia nieautoryzowanego użytkownika pracowaliśmy bez przerwy próbując rozpracować naturę wtargnięcia oraz oszacować zakres danych, do jakich uzyskano dostęp. Naszym najwyższym priorytetem było ponowne zabezpieczenie sieci. Następnie pracowaliśmy jednocześnie zarówno nad śledztwem w tej sprawie oraz nad poinformowaniem naszych graczy na całym świecie. Staraliśmy się znaleźć odpowiedni balans pomiędzy szybkością i precyzją w udzieleniu informacji. Pracowaliśmy nieznużenie, aby zaspokoić obie te niezwykle istotne kwestie.
Jakie działania podjął Blizzard?
Natychmiast po wykryciu nieautoryzowanego dostępu, pracowaliśmy pilnie nad ponownym zabezpieczeniem naszej sieci. Następnie od razu powiadomiliśmy przedstawicieli prawa oraz ekspertów do spraw bezpieczeństwa i rozpoczęliśmy trwające śledztwo w związku z zajściem. Podjęliśmy również kroki, aby powiadomić graczy o tym, co się stało w przeciągu kilku dni od momentu wykrycia nielegalnego dostępu do naszych danych.
Czy uzyskano dostęp do danych osobistych lub finansowych?
Na chwilę obecną nie posiadamy żadnych dowodów na to, aby jakiekolwiek dane finansowe zostały naruszone, lub pozyskane. Nie ma ponadto żadnych dowodów na to, że zostały pozyskane informacje osobiste, takie jak prawdziwe imiona, czy dane płatnicze.
Co wiadomo w sprawie zaszyfrowanych haseł, do których uzyskano dostęp?
Uzyskano dostęp do cyfrowo zaszyfrowanych wersji haseł graczy korzystających z serwerów Ameryki Północnej. Dane te były chronione przez Bezpieczny Zdalny Protokół Haseł (SRP - Secure Remote Password Protocol). Niniejsze dane nie dają nieautoryzowanym użytkownikom dostępu do właściwych haseł – każde hasło musi zostać osobno odszyfrowane. Ta dodatkowa warstwa ochronna SRP sprawia, że wszelkie procesy deszyfrujące stają się bardzo trudne i kosztowne.
Dlaczego odpowiedzi na osobiste pytanie bezpieczeństwa nie zostały od razu unieważnione, po tym jak zostało naruszone ich bezpieczeństwo?
Była to trudna decyzja, ale doszliśmy do wniosku, że system osobistych pytań I odpowiedzi stanowi dodatkową warstwę bezpieczeństwa przeciwko nieautoryzowanym użytkownikom, którzy nie mają dostępu do naruszonych danych. W międzyczasie pilnie pracujemy nad przygotowaniem procesu, który pozwoli graczom na zmianę ich osobistego pytania i odpowiedzi. Obsługa działu pomocy została ponadto poinformowana o podjęciu dodatkowych kroków przy weryfikacji graczy i nie będzie polegać wyłącznie na osobistym pytaniu bezpieczeństwa.
Dlaczego uwierzytelniacze komórkowe nie zostały natychmiast wyłączone?
Podobnie jak w przypadku odpowiedzi na osobiste pytanie bezpieczeństwa, jesteśmy przekonani, że pozostawienie komórkowych uwierzytelniaczy pozwoli graczom na zachowanie dodatkowej warstwy ochronnej przeciwko nieautoryzowanym użytkownikom, którzy nie posiadają dostępu do naruszonych danych. Tak naprawdę same dane uwierzytelniaczy komórkowych nie wystarczą, by uzyskać dostęp do kont Battle.net – nadal potrzebne jest prawdziwe hasło. Pracujemy nad szybkim dostarczeniu nowego oprogramowania komórkowych uwierzytelniaczy i powiadomimy graczy o aktualizacji jak tylko będzie dostępna.
Czy w związku zaistniałą sytuacją podejmujecie jakieś szczególne środki ostrożności?
Stale rozbudowujemy nasze systemy bezpieczeństwa, technologie, politykę i procedury, aby chronić naszych klientów oraz ich gry, i nadal będziemy uważnie śledzić rozwój sytuacji.
Nasze zespoły pracują bez przerwy nad toczonym śledztwem we współpracy z przedstawicielami prawa oraz ekspertami do spraw bezpieczeństwa, aby uzyskać jak najdokładniejszy wgląd w zaistniałe zdarzenie. Wraz z zakończeniem śledztwa wyciągniemy wnioski, które pozwolą nam wzmocnić nasze systemy bezpieczeństwa na przyszłość.
Choć obecnie nie ma żadnych dowodów na to, że jakiekolwiek hasła, czy dane należące do graczy zostały nadużyte, zachęcamy wszystkich graczy z serwerów Ameryki Północnej, aby zmienili swoje hasła. Kliknij tutaj, aby zalogować się i zmienić swoje hasło.
Jako środek zapobiegawczy, uruchomimy w najbliższych dniach automatyczny proces, który pozwoli wszystkim użytkownikom zmienić osobiste pytania bezpieczeństwa oraz odpowiedź. Przypomnimy również użytkownikom uwierzytelniaczy komórkowych o konieczności aktualizacji oprogramowania uwierzytelniacza.
Choć nic nie wskazuje na to, że pozyskane informacje zostały rozpowszechnione przez strony nieautoryzowane, lub że wystąpiły jakiekolwiek przypadki wykorzystania rzeczonych danych, zachęcamy wszystkich członków naszej społeczności, aby uważnie śledzili wszystkie swoje konta elektroniczne.
Gracze powinni również zwrócić uwagę na maile wyłudzające dane (phishing). Niestety, z uwagi na fakt, iż adresy mailowe zostały ujawnione, możliwe jest, iż tego typu korespondencja może być rozsyłana do naszych użytkowników. Wejdź tutaj, aby uzyskać pomoc o tym jak rozpoznawać i unikać tego typu podejrzane maile.
Jakie dane zostały narażone?
Oto zestawienie danych, do których, według naszej wiedzy, uzyskano dostęp:
Konta z Ameryki Północnej, Ameryki Łacińskiej, Nowej Zelandii i Azji Południowo-Wschodniej
- Adresy e-mail
- Odpowiedź na osobiste pytanie bezpieczeństwa
- Cyfrowo szyfrowane wersje haseł (nie prawdziwe hasła)
- Informacje związane z komórkowym uwierzytelniaczem (Mobile Authenticator)
- Informacje związane z komórkowym uwierzytelniaczem Dial-in
- Informacje związane z usługa Phone Lock – systemem bezpieczeństwa związanym wyłącznie z kontami tajwańskimi
Konta ze wszystkich regionów z wyjątkiem Chin (włączając w to Europę i Rosję)
- Adresy e-mail
Konta w Chinach
- Nienarażone.
W chwili obecnej nie ma żadnych dowodów na to, że uzyskano dostęp do jakichkolwiek informacji finansowych. Dotyczy to między innymi kart kredytowych, adresów pocztowych, imion, czy innych informacji płatniczych.
Jakie informacje związane z uwierzytelniaczem komórkowym i Dial-In zostały narażone? Co z usługą Phone Lock?
W kwestii uwierzytelniaczy Dial-In (Dial-In Authenticator), uzyskano dostęp do zamaskowanych (niejawnych) numerów telefonów. Owe dane dotyczą stosunkowo niewielkiej liczby osób, które uczestniczyły w usłudze.
W kwestii uwierzytelniaczy komórkowych (Mobile Authenticator) zostały pobrane dane, które mogą potencjalnie wpłynąć na bezpieczeństwo uwierzytelniaczy komórkowych w Ameryce Pólnocnej. Nie mamy dowodów na to, aby wpłynęło to na inne regiony. Pilnie przygotowujemy aktualizację oprogramowania dla użytkowników uwierzytelniaczy komórkowych.
Ponadto wierzymy, że bezpieczeństwo fizycznych uwierzytelniaczy (tokenów) pozostało nienaruszone.
Dane związane z Phone Lock dotyczą małej liczby zamaskowanych (niejawnych) numerów telefonicznych graczy tajwańskich, którzy korzystali z tej usługi i posiadają konta Battle.net w Ameryce Północnej.
Czy bezpieczeństwo uwierzytelniaczy fizycznych zostało naruszone?
Wierzymy, że bezpieczeństwo fizycznych uwierzytelniaczy (tokenów) pozostało nienaruszone.
W jaki sposób do tego doszło?
Podobnie jak innym firmom prowadzących działalność online, zdarzyło się nam, iż strona zewnętrzna spróbowała w nielegalny sposób uzyskać dostęp do naszych struktur operacyjnych na pewnym poziomie. Stale rozbudowujemy nasze systemy bezpieczeństwa, technologie, politykę i procedury, aby chronić naszych klientów i ich gry przed wszelkiego rodzaju próbami kradzieży, które coraz częściej mają miejsce we współczesnej przestrzeni cyfrowej.
Kiedy Blizzard dowiedział się o nieautoryzowanym dostępie?
Wtargnięcie do naszej wewnętrznej sieci wykryto 4 sierpnia 2012.
Dlaczego Blizzard ujawnił ten fakt dopiero 9 sierpnia?
Od momentu wykrycia nieautoryzowanego użytkownika pracowaliśmy bez przerwy próbując rozpracować naturę wtargnięcia oraz oszacować zakres danych, do jakich uzyskano dostęp. Naszym najwyższym priorytetem było ponowne zabezpieczenie sieci. Następnie pracowaliśmy jednocześnie zarówno nad śledztwem w tej sprawie oraz nad poinformowaniem naszych graczy na całym świecie. Staraliśmy się znaleźć odpowiedni balans pomiędzy szybkością i precyzją w udzieleniu informacji. Pracowaliśmy nieznużenie, aby zaspokoić obie te niezwykle istotne kwestie.
Jakie działania podjął Blizzard?
Natychmiast po wykryciu nieautoryzowanego dostępu, pracowaliśmy pilnie nad ponownym zabezpieczeniem naszej sieci. Następnie od razu powiadomiliśmy przedstawicieli prawa oraz ekspertów do spraw bezpieczeństwa i rozpoczęliśmy trwające śledztwo w związku z zajściem. Podjęliśmy również kroki, aby powiadomić graczy o tym, co się stało w przeciągu kilku dni od momentu wykrycia nielegalnego dostępu do naszych danych.
Czy uzyskano dostęp do danych osobistych lub finansowych?
Na chwilę obecną nie posiadamy żadnych dowodów na to, aby jakiekolwiek dane finansowe zostały naruszone, lub pozyskane. Nie ma ponadto żadnych dowodów na to, że zostały pozyskane informacje osobiste, takie jak prawdziwe imiona, czy dane płatnicze.
Co wiadomo w sprawie zaszyfrowanych haseł, do których uzyskano dostęp?
Uzyskano dostęp do cyfrowo zaszyfrowanych wersji haseł graczy korzystających z serwerów Ameryki Północnej. Dane te były chronione przez Bezpieczny Zdalny Protokół Haseł (SRP - Secure Remote Password Protocol). Niniejsze dane nie dają nieautoryzowanym użytkownikom dostępu do właściwych haseł – każde hasło musi zostać osobno odszyfrowane. Ta dodatkowa warstwa ochronna SRP sprawia, że wszelkie procesy deszyfrujące stają się bardzo trudne i kosztowne.
Dlaczego odpowiedzi na osobiste pytanie bezpieczeństwa nie zostały od razu unieważnione, po tym jak zostało naruszone ich bezpieczeństwo?
Była to trudna decyzja, ale doszliśmy do wniosku, że system osobistych pytań I odpowiedzi stanowi dodatkową warstwę bezpieczeństwa przeciwko nieautoryzowanym użytkownikom, którzy nie mają dostępu do naruszonych danych. W międzyczasie pilnie pracujemy nad przygotowaniem procesu, który pozwoli graczom na zmianę ich osobistego pytania i odpowiedzi. Obsługa działu pomocy została ponadto poinformowana o podjęciu dodatkowych kroków przy weryfikacji graczy i nie będzie polegać wyłącznie na osobistym pytaniu bezpieczeństwa.
Dlaczego uwierzytelniacze komórkowe nie zostały natychmiast wyłączone?
Podobnie jak w przypadku odpowiedzi na osobiste pytanie bezpieczeństwa, jesteśmy przekonani, że pozostawienie komórkowych uwierzytelniaczy pozwoli graczom na zachowanie dodatkowej warstwy ochronnej przeciwko nieautoryzowanym użytkownikom, którzy nie posiadają dostępu do naruszonych danych. Tak naprawdę same dane uwierzytelniaczy komórkowych nie wystarczą, by uzyskać dostęp do kont Battle.net – nadal potrzebne jest prawdziwe hasło. Pracujemy nad szybkim dostarczeniu nowego oprogramowania komórkowych uwierzytelniaczy i powiadomimy graczy o aktualizacji jak tylko będzie dostępna.
Czy w związku zaistniałą sytuacją podejmujecie jakieś szczególne środki ostrożności?
Stale rozbudowujemy nasze systemy bezpieczeństwa, technologie, politykę i procedury, aby chronić naszych klientów oraz ich gry, i nadal będziemy uważnie śledzić rozwój sytuacji.
Nasze zespoły pracują bez przerwy nad toczonym śledztwem we współpracy z przedstawicielami prawa oraz ekspertami do spraw bezpieczeństwa, aby uzyskać jak najdokładniejszy wgląd w zaistniałe zdarzenie. Wraz z zakończeniem śledztwa wyciągniemy wnioski, które pozwolą nam wzmocnić nasze systemy bezpieczeństwa na przyszłość.
Komentarze:
Wczytywanie komentarzy...
Musisz się zalogować, aby dodać komentarz