SQLi-Lücke Grund für Hack von Epic Games Foren

Vertreter von Epic Games warnen die Besucher der von ihnen unterstützten Foren vor einem Datenleck, von dem 800.000 Accounts betroffen sind. Am Montag hatte das Entwicklerstudio zeitweise eine Reihe von Foren deaktiviert und den Nutzern empfohlen, die Passwörter für alle Accounts zu ändern, die dieselben Accountdaten haben.

Epic Games informierte, dass das Leck das Forum des Spiels Unreal Tournament und das Forum der Game-Engine ‚Unreal Engine‘ betrifft, und dass Cyberkriminelle infolge dieses Lecks unter anderem an die E-Mail-Adressen und andere Informationen gelangen konnten, die in die Foren eingetragen wurden. Die Daten wurden aus der Account-Datenbank vBulletin des Unternehmens gestohlen, doch laut offiziellen Angaben waren unter den Daten keine „Passwörter in irgendeiner Form, weder gesaltet noch gehasht und schon gar nicht in Klartext.“

„Auch wenn die Informationen gestohlen wurden, die in der Account-Datenbank vBulletin für diese Foren gespeichert werden, werden die Passwörter zu den Accounts an einem anderen Ort gespeichert. Diese Foren funktionieren nach wie vor und sie müssen nicht geändert werden“, schreiben Vertreter des Unternehmens.

Am Montag berichtete Epic Games von einem umfassenderen Leck, das die Foren der Games Infinity Blade, Gears of War, frühere Spiele der Serie Unreal Tournament sowie das Forum des Tools UDK (Unreal Development Kit) betraf. Durch dieses Leck konnten Cyberkriminelle die E-Mail-Adressen, gesaltete und gehashte Passwörter und andere Informationen, die mit diesen Foren zusammenhängen, stehlen.

Epic Games fordert die Nutzer dieser Foren auf, umgehend ihre Account-Daten zu ändern und dabei auch die Accounts nicht zu vergessen, für die dieselben Passwörter verwendet werden. „Wenn Sie seit Juli 2015 aktiver Nutzer dieser Foren waren, empfehlen wir ihnen nachdrücklich, das Passwort auf allen Sites zu ändern, auf denen sie es benutzt haben“, rufen Vertreter des Unternehmens ihre Nutzer auf.

Ihren Angaben zufolge waren die Foren der Spiele Paragon, Fortnite, Shadow Complex und SpyJinx nicht betroffen.

Am Montagabend schrieben Mitarbeiter des Spiele-Entwicklers auf Twitter: „So lange die Untersuchung des Datenlecks anhält, befinden sich unsere Foren im Wartungsmodus.“

Wie Deral Heiland, IT-Sicherheitsexperte und Leiter der Forschungsabteilung bei Rapid7 bemerkte, wurde die Kompromittierung durch eine Sicherheitslücke hervorgerufen, die die Einschleusung von SQL-Code ermöglicht. Seinen Worten zufolge ist der Hack der Epic Games-Foren nur ein weiteres Glied in einer langen Kette von Angriffen auf Foren, die eine veraltete oder ungepatchte Version von vBulletin verwenden.

Bei Epic Games konnte oder wollte man nicht auf die Frage von Threatpost nach der Grundursache für den Hack antworten.

„Dieses Leck ist nur eine weitere Mahnung daran, dass SQLi-Attacken, die erstmals im Jahr 1998 vorkamen, in nächster Zeit keinesfalls verschwinden werden. Wie aus Berichten über diesen Vorfall bekannt wurde, verwendete das Unternehmen weiterhin diese Version von vBulletin, obgleich sie eine wohl bekannte SQLi-Schwachstelle enthielt“, kommentierte Heiland das Datenleck in den Foren von Epic Games.

Ähnliche SQLi-Lücken wurden seinerzeit im Content Management System Joomla und in der Plattform SAP HANA entdeckt und vor kurzem wurden derartige Sicherheitslücken in Oracle EBusiness Suite 11i gefunden.

Heiland empfiehlt allen Besuchern der Foren von Epic Games, ihre Passwörter zu ändern. „Auch wenn die Experten des Unternehmens erklären, dass ihre Hashes nicht so einfach zu knacken sind, dürfen die Nutzer nicht vergessen, dass mit ausreichend Zeit und Geduld alles möglich ist. Potentielle Angreifer könnten neben den Passwörtern auch an die E-Mail-Adressen und an den Inhalt persönlicher Mitteilungen kommen“, erklärte er.

Vertreter von Epic Games gaben die folgende Erklärung ab: „Wir entschuldigen uns für die entstandenen Unannehmlichkeiten. Sobald wir neue Informationen erhalten, setzen Sie wir umgehend davon in Kenntnis.“

Quelle: Threatpost

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.