Ontwikkelaar browsergame Town of Salem is getroffen door datalek

BlankMediaGames, ontwikkelaar van het browsergebaseerde spel Town of Salem, is eind december getroffen door een datalek. Daarbij zijn mogelijk de gegevens van 7,6 miljoen gebruikers op straat beland.

Het lek werd bekendgemaakt door DeHashed, een zoekmachine voor websites en mailadressen die ten prooi zijn gevallen aan hackers en malware. DeHashed kreeg de informatie op zijn beurt doorgespeeld van een anonieme tipgever die erin was geslaagd om via de server van BlankMediaGames toegang te krijgen tot de volledige database van de ontwikkelaar. Tot de gelekte gegevens behoren onder meer gebruikersnamen, e-mailadressen, wachtwoorden, ip-adressen, de game- en forumactiviteit en betaalgegevens. Van spelers die bepaalde premium functies van Town of Salem hebben gekocht, zijn volgens DeHashed ook de facturatiegegevens kwetsbaar geweest.

Het is voor het eerst dat BlankMediaGames het slachtoffer wordt van een beveiligingslek. DeHashed noemt het dan ook ironisch dat het om een entry-level kwetsbaarheid gaat, die bekend staat als lfi/rfi of voluit: local file inclusion/remote file inclusion. Intussen is het beveiligingslek ook bevestigd via het Twitter-account van Have I Been Pwned. Ontwikkelaar BlankMediaGames is op de hoogte gebracht van de problemen, maar heeft nog geen officiële reactie gegeven.

DeHashed

Reacties (53)

kuurtjes 2 januari 2019 10:16

https://blog.dehashed.com...m-blankmediagames-hacked/

Update: We have made numerous attempts to contact BlankMediaGames, both over phone and over email. They have yet to release a statement, we can no longer wait on publishing this as it has been well over 5 days.

Friday, 12/28/2018 – 11:33 AM PST – Emailed BlankMediaGames
Friday, 12/28/2018 – 12:33 PM PST – Called BlankMediaGames
Saturday, 12/29/2018 – 15:01 PM PST – Emailed BlankMediaGames
Saturday, 12/29/2018 – 15:12 PM PST – Called BlankMediaGames (No Answer)
Sunday, 12/30/2018 – 09:12 AM PST – Emailed BlankMediaGames

Prachtig hoe snel ze verwachten dat een bedrijf moet antwoorden.

ironically it was caused by a entree-level vulnerability known as “LFI” / “RFI”.

Wat een vage benaming. Wat is een SQLi dan?

Anyways, de bouwkwaliteit van hun website en spel waren altijd al ondermaats. Verder was het wel een zeer leuk spel.

rvdm- @kuurtjes • 2 januari 2019 10:22

Prachtig hoe snel ze verwachten dat een bedrijf moet antwoorden.

Vind ik wel goed. Dat blog is kennelijk geinformeerd door iemand die verantwoordelijk is voor de hack - en dus liggen er >8M persoonsgegevens op straat. Als je als game-exploitant dan meer dan 5 dagen de tijd nodig hebt voor een antwoord, dan is er iets grondig mis en ben je onverantwoordelijk bezig.

Wat een vage benaming. Wat is een SQLi dan?

SQLi is SQLi, en geen file inclusion. LFI/RFI zijn gewoon standaard termen voor local/remote file inclusions, daar is heel weinig vaag aan.

[Reactie gewijzigd door rvdm- op 26 juli 2024 14:55]

kuurtjes @rvdm- • 2 januari 2019 11:05

Ze hadden 2 werkdagen om door alle mails te gaan. De kans dat ze het al wisten is dus vrij klein.

En ik bedoel de term "entry level vulnerability". Misschien was het inderdaad een simpele LFI/RFI, maar LFI/RFI heeft zelf niets met entry level of niet te maken. Het is gewoon een type exploit. De geexploiteerde bug daarintegen kan wel entry level zijn.

Caelestis @kuurtjes • 2 januari 2019 11:44

Ook nog tussen kerst en nieuwjaar dus kans is groot dat ze ook nog met een skeleton crew bezig waren als er überhaupt iemand aanwezig was om de telefoon op te nemen.
Het is wel een beetje zuur dat het allemaal zo moet lopen. Ik zie de vertraging niet zozeer als een verwijtbaar delict maar als de betaal gegevens zijn gelekt wat moet je dan.......
Om eerlijk te zijn vindt ik dit een misselijk makend verhaal.
Bedrijf heeft zijn beveiliging niet op orde en hackers maken waarschijnlijk express gebruik van lage bezetting tijdens de feest dagen om toe te slaan en de experts die de lek vinden krijgen te maken met voicemail.
Wat een klote jaar wisseling hebben die gasten allemaal.

kuurtjes @Caelestis • 2 januari 2019 13:18

Rond Black Friday enzo zetten criminelen ook vaker valse webshops op. Ze maken er dus zeker gebruik van.

Natuurlijk is het goed dat het snel online gepost wordt maar ik vind vooral dat ze het gebrekkige contact rond deze periode niet mogen slechtpraten. Ook is het lek er nu mogelijk nog en kan enig goede hacker hier vrij snel achter komen. Ze hadden evengoed "there is a live vulnerability on the town of salem website!" kunnen posten.

rvdm- @kuurtjes • 2 januari 2019 16:50

Ze hadden 2 werkdagen om door alle mails te gaan. De kans dat ze het al wisten is dus vrij klein.

Nee, ze hebben telefonisch bevestigd de mails ontvangen te hebben. De kans dat ze het dus al wisten was 100%.

kuurtjes @rvdm- • 2 januari 2019 17:51

Dat heb ik niet zien staan in het bron artikel. En met ze, bedoel je dan andere mensen buiten een support die gewoon de telefoon oppakt en omdat iedereen al vakantie had alles dan ook maar in een mail had gezet? Of bedoelde je 99%?

Ik zou zeggen dat we niet alles direct op een slechte directie hoeven te schuiven.

rvdm- @kuurtjes • 3 januari 2019 09:42

They have received our emails per our original voice conversation, but are yet to respond or even acknowledge either the breach or the emails.

Geen idee of dat support is of iemand anders. Is ook helemaal niet belangrijk, dat is nu eenmaal de verantwoordelijkheid die je als bedrijf op je neemt als je de gegevens van miljoenen klanten verwerkt. Ik wijs ook niet naar de directie, ik wijs naar het feit dat een bedrijf was genotificeerd, op meerdere manieren waaronder telefonisch, en dat de gegevens van die klanten waren gecompromitteerd. Op zo'n moment kom je gewoon niet weg met vakantie-excuses of dat het weekend was.

En ja: ik bedoel 100%, als de tekst in het bron-artikel klopt.

kuurtjes @rvdm- • 3 januari 2019 13:49

Wat als het de receptioniste was die er niets van afweet?

Zeiden degene die contact hadden opgenomen zelfs wel dat het een serieus iets was?

Dat zijn wel veel vragen die ik heb waar jij volgens die 100% het antwoord overal op weet.

rvdm- @kuurtjes • 3 januari 2019 15:53

We lopen rondjes. Wie het was is niet relevant, wat relevant is is dat het bedrijf heeft gereageerd (en heeft bevestigd dat die mails waren ontvangen). Dat jij die vragen hebt is daardoor ook gewoon niet zo heel belangrijk, naast dat ze niet relevant zijn. Denk je echt dat iemand die niet bij dat bedrijf werkt de telefoon opneemt, toegang heeft tot die mailbox, en bevestigt dat die mail is binnengekomen?

Bedrijf was op de hoogte -> bedrijf is verantwoordelijk.

kuurtjes @rvdm- • 3 januari 2019 16:17

Jij denkt dat een bedrijf 1 iets is, maar eigenlijk zijn het verschillende mensen die samenwerken.

rvdm- @kuurtjes • 3 januari 2019 18:06

Jij denkt dat een bedrijf 1 iets is, maar eigenlijk zijn het verschillende mensen die samenwerken.

Gelukkig denkt de wet er ook zo over, en is de publisher van 'town of salem' 1 entiteit die verantwoordelijk is voor het beheer van de persoonsgegevens van z'n klanten.

kuurtjes @rvdm- • 3 januari 2019 20:17

Maar de wet garandeerd niet voor 100% dat de directie het al weet.

Mijn punt is toch duidelijk? Je kan ze onmogelijk slechtpraten als je van dingen uitgaat zonder daadwerkelijk bewijs te zien. En het bewijs is er niet, buiten een third party blog.

[Reactie gewijzigd door kuurtjes op 26 juli 2024 14:55]

rvdm- @kuurtjes • 4 januari 2019 09:41

Ik stop hiermee

Er zijn stapels bewijs, inclusief forum posts van 't bedrijf zelf waarin ze 't niet veel beter doen. De wet hoeft niet te garanderen of 'de directie het weet' (dat is ook iets waar jij over begint, niet ik). Als jij liever je gelijk probeert te halen via onzinnige redenaties, dan te accepteren dat een bedrijf verantwoordelijkheden heeft, dan valt er niet met je te discussieren - en heb ik zelf ook wel betere dingen te doen.

kuurtjes @rvdm- • 4 januari 2019 16:24

Natuurlijk heeft het bedrijf verantwoordelijkheden. Maar ik zeg dat jij onmogelijk kunt weten dat ze het wisten. Punt. Dat weet je maar pas na een intern onderzoek of een publiek bericht van hun. Al de rest is speculatie, die jij dan weer afschuift op verantwoordelijkheid, in plaats van het daadwerkelijk punt, "dat ze het wisten", te verdedigen.

ErnstH @kuurtjes • 2 januari 2019 10:19

Volgens de GDPR moet je binnen 72 uur een data breach melden bij de autoriteiten. Ze zouden dus tenminste een dank-je-wel kunnen sturen als antwoord op deze e-mail..

Cergorach

Games

@ErnstH • 2 januari 2019 11:34

Erm... Tussen kerst en nieuw jaar zijn heel veel bedrijven dicht, nog veel meer zijn bijzonder dun bezet. Het zou dus zomaar kunnen dat dergelijke informatie in die periode niet de juiste mensen hebben bereikt. Dat wetgeving niet praktisch haalbaar is, is ook niet bepaald nieuw, zeker wat betreft GDPR, waar de overheid er zelf nog niet aan voldoet...

Verwijderd @Cergorach • 2 januari 2019 11:52

Fysieke beveiliging (van bijvoorbeeld bedrijfspanden) loopt ook gewoon door tijdens feestdagen. Je mag verwachten van een bedrijf dat veel online doet, dat ze een vergelijkbare security policy hebben voor online zaken.

JBVisual @ErnstH • 2 januari 2019 11:40

Echter geld dit alleen voor Europese bedrijven.
Mensen kunnen er zelf voor kiezen diensten af te nemen bij een bedrijf buiten de EU.

In dit geval gaat het om een Amerikaans bedrijf, waarbij de dienst officieel in Amerika gehost wordt.
(9900 Spectrum DrAustin, TX 78717, Verenigde Staten)

ErnstH @JBVisual • 2 januari 2019 12:02

Nee hoor, de GDPR geldt voor iedereen die services aanbiedt aan individuen in de EU.

bouwfraude @kuurtjes • 2 januari 2019 10:46

Op een vrijdagmiddag en het weekeinde in de kerstvakantie verwachten dat je antwoord krijgt?
De meeste bedrijven zijn dan dicht of draaien op een laag pitje.

Cryothic @bouwfraude • 2 januari 2019 11:10

Opzich wel, maar ik denk dat bij elk zichzelf-respecterend bedrijf er altijd wel iemand ergens binnen een tijd-span van een dag of 2 een mailbox ff doorkijkt.

Daarbij valt dit me op:
Friday, 12/28/2018 – 12:33 PM PST – Called BlankMediaGames
Saturday, 12/29/2018 – 15:12 PM PST – Called BlankMediaGames (No Answer)

Op zaterdag staat er expliciet bij "No Answer", wat idd vrij logisch is in zo'n weekend.
Maar dat zou er dan op duiden dat er vrijdag wel degelijk iemand aan de telefoon is geweest.
En al zou dat een stagiaire zijn die toevallig voor z'n school-uurtjes die vrijdag nog ff aanwezig is... als iemand belt om een lek te bellen lijkt het me niet meer dan nodig om dan meteen een leidinggevende in te lichten.

Timing zo voor de kerst is rot, maar als ze idd met iemand gesproken hebben aan de telefoon op vrijdag, had er allang actie ondernomen moeten worden.

Verwijderd @Cryothic • 2 januari 2019 11:50

Gewoon alle kerstverloven intrekken in dat soort situaties.

Skyclad @Cryothic • 2 januari 2019 13:15

Elk zichzelf-respecterend bedrijf zet gewoon een out of office aan op de niet kritieke mailboxes en is gewoon dicht. Ik zie nou niet naar welk email adres ze het hebben gestuurd, en als ze het naar een algemeen adres sturen (of rechtstreeks naar een medewerker die er niet is) dan kan ik me best voorstellen dat het niet gezien wordt.

Veel kleine game bedrijven hebben gewoon een paar support medewerkers die werken op zo'n moment maar verder niemand, en als er dan bijvoorbeeld een server plat gaat kunnen die support medewerkers een technicus/systeembeheerder waarschuwen. Maar als zo'n mailtje naar iets anders dan het support adres gestuurd wordt of daar een achterstand was en ze pas een week later de mailtjes zien kan het best zo zijn dat niemand het opmerkt.
k heb een tijd lang als vrijwilliger op de forums geholpen bij twee kleine Duitse game publishers, en rond de feestdagen hadden we wel wat mensen op Skype voor wanneer er een server plat ging en voor de echte noodgevallen een paar privenummers van medewerkers, maar sommige dagen werkte er alleen een paar supporters van huis uit en was er niemand op kantoor. Dus als je dan zonder die contacten via mail iets rapporteerde (of zou proberen te bellen naar het officiele nummer) zou de eerste paar dagen niemand het zien.

kuurtjes @Cryothic • 2 januari 2019 12:54

Dit is wel een goed punt, maar het is vrij onduidelijk.

DigitalExorcist @bouwfraude • 2 januari 2019 12:29

Ja, en als er brand uitbreekt hoor je dat als directeur ook pas na de vakantie? Dit is technologisch afgefikt dus horen ze dat echt wel op tijd.

Christoxz @kuurtjes • 2 januari 2019 10:23

Wat een vage benaming. Wat is een SQLi dan?

Hoezo vage benaming? SQLi is mede bijvoorbeeld mogelijk door een LFI or RFI.
Maar alsnog drie verschillende termen.

[Reactie gewijzigd door Christoxz op 26 juli 2024 14:55]

Verwijderd @kuurtjes • 4 januari 2019 03:37

Is het verstandig om alle wachtwoorden te veranderen? Dus van games en andere dingen

kuurtjes @Verwijderd • 4 januari 2019 16:22

Ik denk dat het alleen om de wachtwoorden van de gebruiker accounts zelf gaan, en niet de wachtwoorden die opgeslaan zijn op deze accounts.

Natuurlijk is het met een wachtwoord clouddienst zoals deze beter om gewoon alles te wijzigen als je niet zeker bent.

Maar het hangt vooral af van hoe ze hun encryptie gebruikten. Mochten al jouw wachtwoorden toch gelekt zijn en wordt het wachtwoord van je gebruikers account gebruikt om deze te beveiligen, zou ik er zeker van uitgaan dat deze uiteindelijk gekraakt zullen worden.

kevin38423198 2 januari 2019 10:31

Ik speelde dit spel jaren geleden eerst in de browser voordat ik het op Steam heb gekocht. Ik logde altijd in via de Facebook koppeling. Watvoor data kan er van mij gestolen zijn in dit geval?

DigitalExorcist @kevin38423198 • 2 januari 2019 12:30

Ingelogd met Facebook? Dan sowieso al je data + dat van je connecties 😜

Vinxian @kevin38423198 • 2 januari 2019 13:00

Ik weet niet welke gegevens er verder nodig zijn als je inlogt via steam of Facebook.
Maar je steam en Facebook wachtwoord zijn sowieso niet gecomprimeerd door dit lek als je daar bang voor was.
Maar je steam naam en Facebook naam waarschijnlijk weer wel

Caseum 2 januari 2019 10:36

Er staat dat de wachtwoorden ook gelekt zijn.
Maar is dat dan in plain text??

stealthgun @Caseum • 2 januari 2019 10:43

Volgens het artikel zijn de wachtwoorden opgeslagen in md5, dus ja zo goed als plaintext

roestje @stealthgun • 2 januari 2019 11:00

Hoezo? Er kan gebruik gemaakt zijn van een of meerdere salts, dan hebben md5 dictionaries neem ik aan weinig zin.

Ikkerens @roestje • 2 januari 2019 11:37

Omdat MD5 al jaren bekend staat als "severely compromised", zelfs salted MD5 is niet meer veilig vanwege de vele collision attacks.

Meer info hier: https://en.wikipedia.org/wiki/MD5#Security

roestje @Ikkerens • 2 januari 2019 11:57

Mee eens, maar nu haal je twee dingen door elkaar. Ik had het over het stukje 'zo goed als plaintext'.
Je kan op basis van een collision niet het plain text wachtwoord achterhalen, dat kan enkel middels brute force of een reeds bestaande dictionary (met zelfde salt). Sterker nog, je hebt bij een collision meerdere opties wat het wachtwoord geweest zou kunnen zijn

Ikkerens @roestje • 2 januari 2019 12:03

Daarom denk ik ook dat hij "zo goed als" zei, en niet "gelijk aan". Overdreven misschien, maar het geeft wel aan hoe onveilig MD5 is nu.

roestje @Ikkerens • 2 januari 2019 12:08

Ja MD5 is onveilig omdat meerdere plaintexts naar 1 hash kunnen leiden. Maar hoe ga je deze hashes, uit de database, zonder brute force of dictionary, weer plaintext maken?
Mijn stelling blijft dat als er een salt is gebruikt je brute force nodig hebt om te achterhalen wat het in plaintext was en dat het dus niet zo goed als plaintext is.

Dat je MD5 niet meer moet gebruiken voor wachtwoorden staat wat mij betreft niet ter discussie.

lonaowna @Caseum • 2 januari 2019 11:02

Volgens de blogpost zijn ze wel gehashed:

Passwords (phpass, MD5(WordPress), MD5(phpBB3))

peize9 @lonaowna • 14 januari 2019 23:48

md5 is basically plain text

Verwijderd 2 januari 2019 10:53

"...die ten prooi zijn gevallen aan hackers en malware."

Is dit niet, zoals wel vaker, een smoesje om te verhullen dat ze de zooi verkocht hebben aan de hoogste bieder [waarschijnlijk een reclame bedrijf]?

elmuerte @Verwijderd • 2 januari 2019 11:30

Hanlon's razor: "Never attribute to malice that which is adequately explained by stupidity."

jerkitout 2 januari 2019 10:10

Had deze spel ooit op steam gekocht, maar de steam koppeling is heel rare. Je moet alsnog een wachtwoord aanmaken. Die heb ik dus verloren en de reset werkt niet, helemaal geen help van de ontwikkelaars. Hopelijk resetten ze nu iedereens wachtwoord en krijg ik weer toegang

Mr. Awesome @jerkitout • 2 januari 2019 10:30

Staat die niet in je password manager dan?

Parrotmaster @Mr. Awesome • 2 januari 2019 12:18

Al je wachtwoorden toegankelijk maken d.m.v. 1 wachtwoord is niet echt veilig.

Sleepkever @Parrotmaster • 2 januari 2019 12:35

Al je accounts zijn vaak per definitie al toegangelijk via 1 wachtwoord: je email. Vaak is toegang tot een email genoeg om een password reset uit te voeren.

En al je wachtwoorden toegankelijk maken via 1 service is altijd nog beter dan overal hetzelfde wachtwoord gebruiken. Het is weer een laag extra en je kan er wel vanuit gaan dat die password storage services de security ietsje hoger hebben zitten dan de gemiddelde forum / game host.

Parrotmaster @Sleepkever • 2 januari 2019 13:16

Ik gebruik dan ook meerdere emailadressen, en meerdere verschillende wachtwoorden. Al die moeite zou ongedaan worden als ik een password manager gebruik.

ruay001 @Sleepkever • 2 januari 2019 14:08

Een oplossing zou zijn om 2FA aan te zetten.

https://blog.zensend.io/1...thentication-9e1187f9530c

jerkitout @Mr. Awesome • 2 januari 2019 13:44

Nee, alleen mijn browser wachtwoorden staan daar in. Ik heb wel mijn Town Of Salem forum password, maar dat is natuurlijk weer een andere account dat niet werkt in de spel..

Radiant @jerkitout • 3 januari 2019 10:34

Misschien kan je nu je wachtwoord wel weer herleiden uit de hash

elmuerte 2 januari 2019 10:54

> Intussen is het beveiligingslek ook bevestigd via het Twitter-account van Have I Been Pwned.

Dat is niet echt bevestiging. DeHashed heeft de informatie doorgespeeld naar HIBP om het ook in de database op te nemen. Dus dezelfde bron.

Maar in de data die beschikbaar is via HIBP kan ik wel concluderen dat er informatie buitgemaakt is. Een voordeel van specifieke email adressen gebruiken voor verschillende services.

Parrotmaster @elmuerte • 2 januari 2019 12:19

Protip: quote's doe je zo:

[qu.ote]de tekst die je wilt quoten[/qu.ote]

(Verwijder de punten)

[Reactie gewijzigd door Parrotmaster op 26 juli 2024 14:55]

Op dit item kan niet meer gereageerd worden.

Lees meer

Reacties (53)

Sorteer op:

Weergave: