Учетные данные сотен тысяч игроков MMORPG Mortal Online оказались в открытом доступе после атаки на серверы разработчика. Компрометация хранилища произошла 17 июня 2018 года, с тех пор email-адреса и пароли несколько раз перепродавались на подпольных форумах, пока не попали в Сеть.

Информация пользователей хранились на серверах в виде MD5-хешей, об уязвимости которых заявил сам разработчик алгоритма еще в 2012 году. Для компрометации данных применяется брутфорс, при этом злоумышленнику не нужно задействовать большие вычислительные мощности — исследователь Нэт Макхью (Nat McHugh) продемонстрировал атаку коллизией хеша с помощью облачной системы, потратив всего $1.

Представители компании сообщили о взломе через четыре дня после обнаружения утечки. Они также добавили, что не хранят на серверах платежную информацию клиентов, и банковские счета пользователей не могли пострадать от атаки.

Список скомпрометированных аккаунтов порталу Have I Been Pwned? предоставил специалист по информационной безопасности Адам Дэвис (Adam Davies). По его словам, сначала злоумышленник выставил украденные учетные записи на продажу на одном из подпольных форумов. Прежде чем сведения попали в Сеть, база данных сменила нескольких владельцев.

Эксперты по информационной безопасности рекомендуют разработчикам отказаться от использования хеша MD5. В 2014 году о планах по постепенному переходу на более сильные алгоритмы сообщила компания Microsoft.

Позднее два исследователя Французского национального института по исследованиям в области информатики и автоматики (INRIA) провели несколько PoC-атак против алгоритмов MD5 и SHA-1, в результате которых удалось подменить участника сессии между клиентом и сервером и выкрасть учетные данные.

Категории: Другие темы, Хакеры