安全動態(tài)

全球第三方反作弊游戲平臺ESEA數(shù)據(jù)泄漏最新進(jìn)展

來源:聚銘網(wǎng)絡(luò)    發(fā)布時間:2017-01-13    瀏覽次數(shù):
 

信息來源:FreeBuf 

全球第三方反作弊游戲平臺ESEA遭到敲詐勒索攻擊,其泄漏的信息于上周末在網(wǎng)絡(luò)上出現(xiàn)。

事件起因

網(wǎng)絡(luò)上傳播的數(shù)據(jù)屬于擁有一百五十萬成員的電子游戲社區(qū)ESEA(the E-Sports Entertainment Associaton League 電子體育月協(xié)會聯(lián)盟)。上周六,網(wǎng)站LeackedSource對此進(jìn)行了相關(guān)報道,據(jù)該網(wǎng)站稱,ESEA的一個資源庫遭到攻擊,里面包含了ESEA網(wǎng)站1,503,707個用戶的信息。

ESEA周六在Titter中表示,ESEA預(yù)測到此類事件會發(fā)生,但是泄漏的數(shù)據(jù)還沒有被證明屬于ESEA。ESEA于2016年12月30日通知用戶可能會出現(xiàn)數(shù)據(jù)或存儲標(biāo)準(zhǔn)被泄漏的情況。他們已經(jīng)加強安全保護(hù)措施,爭取早日讓網(wǎng)站上線,并表示可能的用戶數(shù)據(jù)泄漏和當(dāng)前的服務(wù)中斷沒有關(guān)系。

Titter原文:http://www.twitlonger.com/show/n_1spgt4i

12月31日的博客中,ESEA的聯(lián)合創(chuàng)始人Craig Levine表示,ESEA于12月27日發(fā)現(xiàn)安全漏洞。Levine當(dāng)時無法確認(rèn),但表示用戶的數(shù)據(jù),包括用戶名、電子郵件、私人消息、IP地址、電話號碼、發(fā)布的論壇帖子、散列密碼、密碼問題答案等可能已經(jīng)遭到了泄漏。

ESEA 12月31日博客原文:https://play.esea.net/index.php?s=news&d=comments&id=14932

Levine還表示只有設(shè)置了接收SMS消息的用戶的電話號碼可能已經(jīng)被竊取。他補充說,賬戶密碼已經(jīng)使用密碼散列函數(shù)bcrypt加密,并且公司不儲存任何支付信息,所以用戶的信用卡數(shù)據(jù)不會被泄漏。

遭受黑客攻擊后,社區(qū)要求用戶重置密碼、進(jìn)行多因素身份驗證并針對所有賬戶進(jìn)行安全問題重置。ESEA表示他們正在調(diào)查此事,在12月底搞清楚哪些用戶、什么數(shù)據(jù)遭盜了攻擊。

150萬用戶數(shù)據(jù)泄漏相對上月雅虎十億用戶數(shù)據(jù)被盜來說并不重要,但是這一消息還是引起了廣大ESEA粉的關(guān)注。

ESEA的服務(wù)重心就是反作弊、反欺詐,大多數(shù)支持它的活躍用戶都是第一人稱射擊游戲Counter-Strike的玩家。有消息表示,黑客也是ESEA的使用者——被成為League Champion!

事實上,這并不是ESEA第一次遇到安全問題。2013年11月,檢察官稱該社區(qū)出現(xiàn)用戶設(shè)備受到惡意軟件感染挖掘比特幣的問題。來自14000臺設(shè)備的3500個比特幣被盜。ESEA否定了這次指控,但同意向該州支付325000美元的罰款。

最新動態(tài)

ESEA發(fā)言人周一表示,信息泄漏正是敲詐勒索攻擊的一部分。攻擊者聯(lián)系了ESEA,并告知如果他們不支付10萬美元的贖金,數(shù)據(jù)就會被出售貨公開。

ESEA在周一晚間還發(fā)布了一片長博客,分析過去兩星期的攻擊勒索過程。據(jù)博客所說,ESEA拒絕支付攻擊者贖金,并在發(fā)現(xiàn)數(shù)據(jù)泄漏后馬上和當(dāng)局聯(lián)系,在接下來的幾天中確定了導(dǎo)致攻擊的漏洞并修補了這個漏洞。ESEA稱,在其系統(tǒng)中,攻擊者設(shè)法訪問游戲服務(wù)器并對一些用戶的“Karma”進(jìn)行了編輯。ESEA的Karma系統(tǒng)允許根據(jù)用戶在游戲中的經(jīng)驗對他們進(jìn)行排名。攻擊者還設(shè)法收集了非用戶數(shù)據(jù),包括Counter-Strike的游戲服務(wù)插件:Global Offensive。ESEA稱非用戶數(shù)據(jù)被盜和用戶數(shù)據(jù)被盜無關(guān)。

ESEA在2017年伊始正在加強其安全性,并繼續(xù)調(diào)查攻擊和勒索事件。Freebuf會持續(xù)為您更新后序進(jìn)展。


 
 

上一篇:越過網(wǎng)絡(luò)層看威脅:為什么全攻擊界面才是最重要的

下一篇:2017年01月13日 聚銘安全速遞