Se siete giocatori di ruolo probabilmente siete ben consci dell’esistenza di Roll20, un sito internet il cui scopo è quello di aiutare i giocatori di ruolo distanti tra loro attraverso la creazione di un tavolo di gioco virtuale con cui simulare le tanto attese sessioni.
Se fate parte di questa categoria di persone, purtroppo, abbiamo una brutta notizia per voi: sembra che un hacker sia riuscito, nel corso degli ultimi anni, a racimolare un grandissimo quantitativo di account violati all’interno di un grande numero di siti web, tra cui il sopracitato Roll20.
La breccia sembra riguardare anche siti di ambiti completamente diversi: sono stati rubati account anche da Dubsmash (applicazione per creare dei simpatici ridoppiaggi), MyFitnessPal (nota applicazione per il mondo fitness), Armor Games (sito di flashgames) o da Stronghold Kingdoms (MMO Strategico in tempo reale basato sulla saga RTS di Stronghold).
Vediamo insieme cosa è successo più nello specifico.
Qualcuno potrebbe star vendendo il vostro account.
Secondo quanto affermato da varie testate online, l’ hacker gnosticplayer sta cercando di vendere per grosse somme di denaro un paio di raccolte che contengono i dati di accesso di oltre 744 milioni di accounts diversi, sparsi per un grande numero di siti. A confermarlo è stato l’hacker stesso attraverso delle dichiarazioni fatte al portale The Hacker News.
Secondo quanto dichiarato, gli account rubati sono stati messi in vendita all’interno di un qualche marketplace di Dream Market, accessibile unicamente sul Dark Web. Il grosso del furto, ovvero gli account dei primi sei siti web compromessi nell’operazione, sono stati messi in vendita per oltre ventimila dollari in bitcoin; questo primo pacchetto conteneva gli account violati appartenenti ai seguenti siti:
- Dubsmash — 162 milioni di account
- MyFitnessPal — 151 milioni di account
- MyHeritage — 92 milioni di account
- ShareThis — 41 milioni di account
- HauteLook — 28 milioni di account
- Animoto — 25 milioni di account
- EyeEm — 22 milioni di account
- 8fit — 20 milioni di account
- Whitepages — 18 milioni di account
- Fotolog — 16 milioni di account
- 500px — 15 milioni di account
- Armor Games — 11 milioni di account
- BookMate — 8 milioni di account
- CoffeeMeetsBagel — 6 milioni di account
- Artsy — 1 milione di account
- DataCamp — 700,000 account
Di tutti questi siti soltanto pochi hanno dichiarato apertamente di aver sofferto un qualche tipo attacco hacker: 500Px, ad esempio, parlò di un attacco hacker soltanto il luglio dello scorso anno specificando la natura dei dati rubati. Artsy, Datacamp e CoffeeMeetsBagel invece non hanno specificato la natura dei dati rubati.
Anche Roll20 nel mirino dell’hacker.
Una seconda raccolta è stata poi messa in vendita dall’hacker all’interno di Dream Market nel corso dei giorni passati, questa volta con decisamente meno accounts. L’hacker aveva chiesto per gli account di questi otto differenti siti oltre 14.500 dollari in bitcoin. Ecco come sono separati i 127 milioni di account che sono stati rubati nel corso dei passati anni.
- Houzz — 57 milioni di account
- YouNow — 40 milioni di account
- Ixigo — 18 milioni di account
- Stronghold Kingdoms — 5 milioni di account
- Roll20.net — 4 milioni di account
- Ge.tt — 1.83 milioni di account
- Petflow and Vbulletin forum — 1.5 milioni di account
- Coinmama (un Exchange di criptovalute) — 420,000 account
Tra questi siti ce ne sono due che riguardano da vicino il nostro mondo, quello del gaming e del gioco di ruolo.
Roll20 ha confermato tramite il suo account twitter l’avvenuto danno specificando la tipologia di danni che un utente avrebbe potuto subire: dal sito sono stati rubati
- nome utente
- indirizzo email
- password crittografata
- ultimo indirizzo IP da cui si è effettuato il login
- momento dell’ultimo login
- ultime 4 cifre della carta di credito dell’utente.
We are examining a report in regards to a possible security breach.
Roll20 only maintains users’ name, email address, hashed password, last login IP and time of login, and the last 4 digits of users’ credit card.
— Roll20 (@roll20app) February 15, 2019
Per evitare l’aggravarsi della situazione Roll20 ha effetuato un log-out per tutti gli utenti del sito in seguito alla scoperta dell’attacco hacker. Secondo quano dichiarato dal comunicato stampa, l’attacco hacker è avvenuto il 26 Dicembre e la grandezza dell’archivio riguardante i dati rubati alla community è pari 700 MB.
Sembra che non ci sia alcun pericolo riguardante le passwords e le carte di credito degli utenti per le caratteristiche tecniche dei servizi usati: i pagamenti interni a Roll20 venivano sempre effettuati attraverso Stripe e Paypal, due noti servizi che si occupano di pagamenti online; questo significa che sui server di Roll20 non erano disponibili le informazioni necessarie all’ottenimento di tutti i dati delle carte di credito che vengono richiesti solitamente per effetture un acquisto online o un bonifico.
Discorso similare può essere fatto per le password: queste ultime venivano trattate con Bcrypt, un algoritmo di hashing piuttosto noto nel settore; Roll20 ha dichiarato che grazie all’utilizzo di tale algoritmo di hashing non è possibile fare reverse engineering su ciò che è stato ottenuto con l’attacco hacker per risalire alla password originale. Nel dubbio è comunque consigliato cambiare password al proprio account utilizzando tutte le precauzioni del caso: password alfanumerica di 8+ caratteri con simboli, maiuscole e minuscole lontani da parole di senso compiuto.
Stronghold Kingdoms non ha al momento confermato nulla riguardo un eventuale hacking del sistema, ne sulla pagina twitter dedicata al gioco, ne attraverso i siti del suo publisher/developer Firefly Studios.
Secondo quanto dichiarato dal ricercatore Ariel Ainhoren (attualmente dipendente di IntSights) l’attacco hacker è avvenuto utilizzando vulnerabilità o sconosciute o non patchate in tempo dalle varie società. Tutti quanti i siti interessati non avevano problemi di sicurezza noti, motivo per cui è probabile che chiunque ci sia dietro l’attacco si sia divertito a fabbricare ogni volta un qualche tipo differente di imbrogli al fine di ottenere l’accesso ai server senza passare per vulnerabilità già conosciute.