2012年8月14日 星期二

駭客入侵Blizzard Battle.net玩家快更改密碼


駭客入侵Blizzard Battle.net玩家快更改密碼


Battle.net玩家們小心最近可能會收到釣魚郵件!暴雪娛樂(Blizzard Entertainment)是美國線上遊戲大廠,旗下擁有魔獸世界、暗黑破壞神等知名遊戲,日前傳出內部系統遭駭客入侵,並非法存取Battle.net(為該公司的線上遊戲服務平台)使用者的帳號資訊。

Blizzard約在8/4發現內部系統遭到非法入侵,並在8/9發出正式公告,提醒所有Battle.net的用戶立即更改密碼,並留意接下來可能會收到來自駭客的釣魚郵件等攻擊。Blizzard創辦人暨總裁Mike Morhaime在Blizzard官方網站上說明事件經過,並表示目前已經與執法機構合作展開持續性調查。

在這起資料外洩事件中,只有中國地區玩家的資料沒有被竊走,其他區域用戶無一倖免,不過,根據Blizzard調查結果指出,外洩的資料不足以讓駭客登入玩家的Battle.net帳號,而使用者的財務相關資訊,包括信用卡、帳單地址、用戶真實姓名等重要資料也沒有被竊走。

Blizzard表示,歐洲與俄國區域玩家是E-mail被竊,北美伺服器的玩家,包括北美、拉丁美洲、澳洲、紐西蘭,以及東南亞等區域,被竊走的資訊除了email帳號之外,還包括密碼(經過加密處理)、提示性問題的答案、行動驗證器、撥號驗證器…等資料。

Morhaime強調,雖然密碼也遭到非法存取,但Blizzard經過加密處理,且採用安全遠程密碼協定(Secure Remote Password, SRP)來保護密碼,必須個別破解每一組密碼才能看到原始資料,解密難度相當高,駭客應該不容易掌握真實密碼。

話說如此,Blizzard依舊建議玩家盡快更改密碼,若在其他網站也使用相同帳號密碼,最好也一併更改,同時,在接下來的一段時間內,玩家可能會收到設法索取密碼的釣魚郵件,必須特別留意。

另一方面,Blizzard表示,會??盡快推出一個自動化機制,讓玩家能更改他們帳號中設定的提示性問題及答案,而使用行動驗證機制的使用者也最好盡快更新軟體。Blizzard表示,行動認證器資訊遭竊取可能會影響到該公司雙因素認證(Two Factor Authentication)機制的整體運作,即若使用者選擇了額外的安全保護,就必須在登入時輸入一個以時間為基礎的代碼,但現階段應無立即性的影響。

今年稍早之前,LinkedIn、Yahoo分別在六月、七月遭駭客入侵,導致大量用戶帳號密碼遭竊,引起業界軒然大波,Blizzard的資料外洩事件也讓線上資料安全再度蒙上陰影。若要避免成為下一個駭客的目標,如何採取更嚴謹的資料保護措施,恐怕是所有網站不可逃避的課題。

轉載自《資安人科技網》