HOME » news

Rubati dati sensibili da Roll20 e altri siti internet

roll 20 hack cover image

Se siete giocatori di ruolo probabilmente siete ben consci dell’esistenza di Roll20, un sito internet il cui scopo è quello di aiutare i giocatori di ruolo distanti tra loro attraverso la creazione di un tavolo di gioco virtuale con cui simulare le tanto attese sessioni.

Se fate parte di questa categoria di persone, purtroppo, abbiamo una brutta notizia per voi: sembra che un hacker sia riuscito, nel corso degli ultimi anni, a racimolare un grandissimo quantitativo di account violati all’interno di un grande numero di siti web, tra cui il sopracitato Roll20.

La breccia sembra riguardare anche siti di ambiti completamente diversi: sono stati rubati account anche da Dubsmash (applicazione per creare dei simpatici ridoppiaggi), MyFitnessPal (nota applicazione per il mondo fitness), Armor Games (sito di flashgames) o da Stronghold Kingdoms (MMO Strategico in tempo reale basato sulla saga RTS di Stronghold).

Vediamo insieme cosa è successo più nello specifico.

Qualcuno potrebbe star vendendo il vostro account.

Secondo quanto affermato da varie testate online, l’ hacker gnosticplayer sta cercando di vendere per grosse somme di denaro un paio di raccolte che contengono i dati di accesso di oltre 744 milioni di accounts diversi, sparsi per un grande numero di siti. A confermarlo è stato l’hacker stesso attraverso delle dichiarazioni fatte al portale The Hacker News.

Secondo quanto dichiarato, gli account rubati sono stati messi in vendita all’interno di un qualche marketplace di Dream Market, accessibile unicamente sul Dark Web. Il grosso del furto, ovvero gli account dei primi sei siti web compromessi nell’operazione, sono stati messi in vendita per oltre ventimila dollari in bitcoin; questo primo pacchetto conteneva gli account violati appartenenti ai seguenti siti:

  • Dubsmash — 162 milioni di account
  • MyFitnessPal — 151 milioni di account
  • MyHeritage — 92 milioni di account
  • ShareThis — 41 milioni di account
  • HauteLook — 28 milioni di account
  • Animoto — 25 milioni di account
  • EyeEm — 22 milioni di account
  • 8fit — 20 milioni di account
  • Whitepages — 18 milioni di account
  • Fotolog — 16 milioni di account
  • 500px — 15 milioni di account
  • Armor Games — 11 milioni di account
  • BookMate — 8 milioni di account
  • CoffeeMeetsBagel — 6 milioni di account
  • Artsy — 1 milione di account
  • DataCamp — 700,000 account

Di tutti questi siti soltanto pochi hanno dichiarato apertamente di aver sofferto un qualche tipo attacco hacker: 500Px, ad esempio, parlò di un attacco hacker soltanto  il luglio dello scorso anno specificando la natura dei dati rubati. Artsy, Datacamp e CoffeeMeetsBagel invece non hanno specificato la natura dei dati rubati.

roll 20 creenshot image

Anche Roll20 nel mirino dell’hacker.

Una seconda raccolta è stata poi messa in vendita dall’hacker all’interno di Dream Market nel corso dei giorni passati, questa volta con decisamente meno accounts. L’hacker aveva chiesto per gli account di questi otto differenti siti oltre 14.500 dollari in bitcoin. Ecco come sono separati i 127 milioni di account che sono stati rubati nel corso dei passati anni.

  • Houzz — 57 milioni di account
  • YouNow — 40 milioni di account
  • Ixigo — 18 milioni di account
  • Stronghold Kingdoms — 5 milioni di account
  • Roll20.net — 4 milioni di account
  • Ge.tt — 1.83 milioni di account
  • Petflow and Vbulletin forum — 1.5 milioni di account
  • Coinmama (un Exchange di criptovalute) — 420,000 account

Tra questi siti ce ne sono due che riguardano da vicino il nostro mondo, quello del gaming e del gioco di ruolo.
Roll20 ha confermato tramite il suo account twitter l’avvenuto danno specificando la tipologia di danni che un utente avrebbe potuto subire: dal sito sono stati rubati

  • nome utente
  • indirizzo email
  • password crittografata
  • ultimo indirizzo IP da cui si è effettuato il login
  • momento dell’ultimo login
  • ultime 4 cifre della carta di credito dell’utente.

Per evitare l’aggravarsi della situazione Roll20 ha effetuato un log-out per tutti gli utenti del sito in seguito alla scoperta dell’attacco hacker. Secondo quano dichiarato dal comunicato stampa, l’attacco hacker è avvenuto il 26 Dicembre e la grandezza dell’archivio riguardante i dati rubati alla community è pari 700 MB.

Sembra che non ci sia alcun pericolo riguardante le passwords e le carte di credito degli utenti per le caratteristiche tecniche dei servizi usati: i pagamenti interni a Roll20 venivano sempre effettuati attraverso Stripe e Paypal, due noti servizi che si occupano di pagamenti online; questo significa che sui server di Roll20 non erano disponibili le informazioni necessarie all’ottenimento di tutti i dati delle carte di credito che vengono richiesti solitamente per effetture un acquisto online o un bonifico.

Discorso similare può essere fatto per le password: queste ultime venivano trattate con Bcrypt, un algoritmo di hashing piuttosto noto nel settore; Roll20 ha dichiarato che grazie all’utilizzo di tale algoritmo di hashing non è possibile fare reverse engineering su ciò che è stato ottenuto con l’attacco hacker per risalire alla password originale. Nel dubbio è comunque consigliato cambiare password al proprio account utilizzando tutte le precauzioni del caso: password alfanumerica di 8+ caratteri con simboli, maiuscole e minuscole lontani da parole di senso compiuto.

stronghold kingdoms hack

Stronghold Kingdoms non ha al momento confermato nulla riguardo un eventuale hacking del sistema, ne sulla pagina twitter dedicata al gioco, ne attraverso i siti del suo publisher/developer Firefly Studios.

Secondo quanto dichiarato dal ricercatore Ariel Ainhoren (attualmente dipendente di IntSights) l’attacco hacker è avvenuto utilizzando vulnerabilità o sconosciute o non patchate in tempo dalle varie società. Tutti quanti i siti interessati non avevano problemi di sicurezza noti, motivo per cui è probabile che chiunque ci sia dietro l’attacco si sia divertito a fabbricare ogni volta un qualche tipo differente di imbrogli al fine di ottenere l’accesso ai server senza passare per vulnerabilità già conosciute.

Articolo a cura di Graziano Salini

Essere umano dotato di infinito nozionismo su cose di dubbia utilità, interagisce con il mondo dei videogiochi da quando ritiene di avere coscienza di sé. I punti forti del suo curriculum sono le oltre seimila ore passate sui moba, gli infiniti titoli conosciuti (e giocati) esplorando i meandri più reconditi della rete e l'indubbia capacità nel "flammare" con gentilezza il giocatore che ha davanti nella sua lingua natia.

Dopo aver preso coscienza dell'esorbitante numero di ore passate su giochi in grado di danneggiare gli organi interni, il tizio raffigurato in foto ha deciso di comprarsi un computer normale e di tenersi aggiornato con le console dando frutto a lunghe sessioni di blasfemie e coccole davanti all'action adventure o al gioco di ruolo di turno, impazzendo davanti a enigmi dalle soluzioni lapalissiane o superando con scioltezza nemici dalla difficoltà aberrante.

Nemico pubblico della punteggiatura e del bel scrivere, può vantare un lessico forbito da completo autistico derivato dai quintali di fumetti Disney letti in tenera età. Al momento sta aspirando alla santità aiutando tutto e tutti in missioni dalla dubbia utilità; aggiorna costantemente i suoi amici facebook sulla musica che ascolta (bella sopra ogni buon senso) e sui giochi che conclude, giusto per dare un senso ad account vecchi lustri.

Kingdom-Hearts-3-cambiamenti e cut content

Kingdom Hearts 3, contenuto tagliato e cambiamenti

I prossimi capitoli di kingdom hearts non usciranno in contemporanea in occidente

Kingdom Hearts 3 | La modalità critica potrebbe essere nascosta nel gioco