Włamanie do Ubisoftu

[buri]

Zalecana zmiana haseł, a tutaj ciekawszy fragment:

Ponieważ oficjalny, polski komunikat jaki rozsyła Ubisoft jest trochę pokraczny i w zasadzie kłamliwy — po polsku “mogły być celem ataków” w oryginale brzmi następująco: “we learned that data were illegally accessed from our account database, including user names, email addresses and encrypted passwords.”), podsumujmy jeszcze raz co się dokładnie stało:

Ubisoft zauważył włamanie na jeden z webserverów (nie wspominają który, ale wszystko wskazuje na uPlay, brak informacji kiedy nastąpił atak).
Wykradziono dane (nazwy kont, adresy e-mail oraz zapewne hashe haseł, jeśli przyjąć taką błędą interpretację słowa “encrypted”).
Dane finansowe nie zostały wykradzionePonieważ oficjalny, polski komunikat jaki rozsyła Ubisoft jest trochę pokraczny i w zasadzie kłamliwy — po polsku “mogły być celem ataków” w oryginale brzmi następująco: “we learned that data were illegally accessed from our account database, including user names, email addresses and encrypted passwords.”), podsumujmy jeszcze raz co się dokładnie stało:

Ubisoft zauważył włamanie na jeden z webserverów (nie wspominają który, ale wszystko wskazuje na uPlay, brak informacji kiedy nastąpił atak).
Wykradziono dane (nazwy kont, adresy e-mail oraz zapewne hashe haseł, jeśli przyjąć taką błędą interpretację słowa “encrypted”).
Dane finansowe nie zostały wykradzione

Info z niebezpiecznika
http://niebezpiecznik.pl/post/wlamanie- ... ne-graczy/

[Kraczykruk]

To nie jakiś fejk i próba wyłudzenia hasła jak to było np. z Blizzardem czy ArenaNet?

[buri]

To nie jakiś fejk i próba wyłudzenia hasła jak to było np. z Blizzardem czy ArenaNet?

Czytałeś to? Ubisoft śle emaile do ludzi o włamaniu oficjalnie, ich strona leży ... tak to żart. Temat już nawet na SG, gdzie jest link do zagranicznego serwisu.

[Kraczykruk]

Czytałem, ale wiesz ile mi maili na skrzynkę przychodzi o uaktualnienie danych od "ArenaNet" i "Blizzard" informujących mnie o nagłej potrzebie zmiany hasła bo inaczej wyłączą mi konto?

[raistand]

Raczej nie fake.
:/

[buri]

Czytałem, ale wiesz ile mi maili na skrzynkę przychodzi o uaktualnienie danych od "ArenaNet" i "Blizzard" informujących mnie o nagłej potrzebie zmiany hasła bo inaczej wyłączą mi konto?

Człowieku ja nie pytam co dostajesz na email, tylko daję linki do potwierdzonych informacji. Zresztą to nie są informacje od tych firm bo mają fałszywe linki - to leci z automatu do spam. Tutaj mamy niezłą wpadkę, a kolejną jest niemożność zmiany haseł, choć przestępcy też na razie nic zrobić nie mogą.

[Kraczykruk]

Czytałem, ale wiesz ile mi maili na skrzynkę przychodzi o uaktualnienie danych od "ArenaNet" i "Blizzard" informujących mnie o nagłej potrzebie zmiany hasła bo inaczej wyłączą mi konto?

Człowieku ja nie pytam co dostajesz na email, tylko daję linki do potwierdzonych informacji. Zresztą to nie są informacje od tych firm bo mają fałszywe linki - to leci z automatu do spam. Tutaj mamy niezłą wpadkę, a kolejną jest niemożność zmiany haseł, choć przestępcy też na razie nic zrobić nie mogą.

Tak i po przeczytaniu informacji w Twoim poście zajrzałem do siebie na skrzynkę i znalazłem tego maila od Ubi tylko że w... spamie, stąd się dopytuje. A jako że sprawa jest widać bardzo świeża to nie ma jeszcze zbyt wielu źródeł które by to potwierdzały.

Edit: udało mi się zmienić hasło bez problemu, więc kłopoty chyba ma tylko ich strona główna.

[matiz]

Nie fake

http://niebezpiecznik.pl/post/wlamanie- ... ne-graczy/

Czytałem, ale wiesz ile mi maili na skrzynkę przychodzi o uaktualnienie danych od "ArenaNet" i "Blizzard" informujących mnie o nagłej potrzebie zmiany hasła bo inaczej wyłączą mi konto?

Człowieku ja nie pytam co dostajesz na email, tylko daję linki do potwierdzonych informacji. Zresztą to nie są informacje od tych firm bo mają fałszywe linki - to leci z automatu do spam. Tutaj mamy niezłą wpadkę, a kolejną jest niemożność zmiany haseł, choć przestępcy też na razie nic zrobić nie mogą.

Tak i po przeczytaniu informacji w Twoim poście zajrzałem do siebie na skrzynkę i znalazłem tego maila od Ubi tylko że w... spamie, stąd się dopytuje. A jako że sprawa jest widać bardzo świeża to nie ma jeszcze zbyt wielu źródeł które by to potwierdzały.

Edit: udało mi się zmienić hasło bez problemu, więc kłopoty chyba ma tylko ich strona główna.

Bo musieli tę funkcjonalność udostępnić, resztę wyłączyli.

[JACKo]

Do mnie doszło...
Nadawca: Od: ★ Ubisoft <email_ubi@email.ubi.com>

Aktualizacja zabezpieczeń Twojego konta Ubisoft
– prosimy o stworzenie nowego hasła


Szanowny Użytkowniku,

W ostatnim okresie odkryliśmy, że jedna z naszych stron WWW została zatakowana w celu uzyskania dostępu do naszych sieci. Nieautoryzowane wejście zostało natychmiast zablokowane przez nasz personel do spraw bezpieczeństwa, podjęliśmy też odpowiednie kroki w celu wyjaśnienia włamania, a także rozpoczęliśmy procedury mające na celu przywrócenie właściwego funkcjonowania wszelkich systemów, które mogły być obiektem ataku.

Podczas naszych działań odkryliśmy, że starano się nielegalnie przejąć dane z naszej bazy. Wśród informacji, które mogły być celem ataku znalazły się: nazwy użytkowników, adresy e-mailowe oraz ukryte hasła. Zwracamy uwagę, że Ubisoft nie przechowuje żadnych informacji dotyczących płatności dokonywanych przez użytkowników kont. Wszelkie dane związane z kartami bankowymi naszych klientów nie były oraz nie są zagrożone poprzez ten atak.

Z uwagi na poważne niebezpieczeństwo związane z ewentualnym wyciekiem tych danych rekomendujemy zmianę hasła dostępu do konta: JACKo_PL

Aby wpisać nowe hasło prosimy wejść na poniższy link: https://secure.ubi.com/register/ResetPa ... .......itd.

W celu pełniejszego zabezpieczenia rekomendujemy wprowadzenie zmian we wszystkich serwisach WWW gdzie użytkownicy mieli podobne lub te same hasła.

Więcej informacji Znajdą Państwo tutaj: https://support.ubi.com/pl-PL/FAQ.aspx? ... 000eYZMCA2.

Jeśli Macie Państwo dodatkowe pytania uprzejmie prosimy o kontakt z biurem obsługi klienta poprzez usługę www pod adresem https://support.ubi.com

Gorąco przepraszamy za wszelkie niedogodności związane z zaistniałą sytuacją. Bezpieczeństwo Państwa danych pozostaje naszym priorytetem.

Zespół Ubisoft

Edit:
Widzę, że niebezpiecznik też wklejał :/

[DirtyMac]

hehe niech mi sie włamują na moje bogate konto uplay, mam to gdzieś

[Stary]

No mi jednak szkoda by było tego konta:/ FC3 i Blood Dragon. Nie wspomnę o kolekcji za 10zł z HerosVI na czele
Weź teraz tu wymyśl jakieś kolejne hasło...

[Refty]

hehe niech mi sie włamują na moje bogate konto uplay, mam to gdzieś

Wiadomo kiedy kogoś nie dotyczy problem może mieć to gdzieś, ale nie musisz innym tego ogłaszać. Inni (w tym ja) by chcieli jednak, żeby ten atak nie spowodował utraty ich gier. Ciekawe czy miałbyś to gdzieś jakby inna platforma miała podobny problem i ja bym tak napisał to co Ty w tej sytuacji.

[DirtyMac]

Chodziło mi raczej o to że "włamywacz" nie obłowi się ma moim koncie - 2 gry nie działające bez Steama.
Jakby to jednak dotyczyło Steam to wydaje mi się że wrzało by w tym wątku o wiele bardziej. W każdym razie ja nie zmieniam hasła bo nie chce mi się i zresztą najpierw musiałbym sobie przypomnieć obecne (mam autolog)

jakby co dam znać czy się włamali do mnie

[matiz]

Maile wysyłają pewnie do wszystkich. Poza tym o konta z grami bym się nie martwił, bo na co komu konto Uplay? Raczej problem jest z serwisami gdzie ma się takie samo hasło jak tu ustawione. Poza tym łakomy kąsek to numery kart podpięte pod Uplay, ale to ponoć nie wyciekło.

[cFalcon]

I się wyjaśniły problemy z logowaniem do Uplaya np. poprzez Far Cry Outpost.
Niestety Ubisoft jak każda firma okłamuje swoich klientów bo ataki trwały z dobry tydzień i wczoraj ustały (wiedzieli i nie poinformowali).

Od razu mi się przypomniał poprzedni atak (gdy im zawinęli dodatek do FC3 miesiąc przed premierą) gdy komuś udało się aktywować na pustym koncie wszystkie gry z Uplaya właśnie z w/w dodatkiem.

[Dorrin]

Jak do tej pory nic nie dostałem. Inna sprawa że już kiedyś z powodu włamu musiałem u nich zmieniać

[RedEvil]

Przecież sami piszą że haslo encrypted. Czyli szyfrowane. Mam 9literowe, niech próbują zlamac.
sry za bledy piszę z androida bo lcd padl, i czekam na nowy a tu takie promocje. I nie ma jak kupić.

[Skapiradlo]

@RedEvil: 9-literowe powiadasz? A wiesz chociaż czy ubisoft solił hasze? Jak nie to rainbow tables przeemieli takie 9-literówki w okamgnieniu. Biorąc pod uwagę jaki burdel mają w ubisofcie (czasem na tym korzystamy z promocjami, czasem jesteśmy do tyłu - World in Conflict Complete do tej pory mi nie działa - tylko krótki dodatek Soviet Assault, a support pisze "że to niemożliwe". Problem mają ci, którzy używali takiego samego loginu do różnych serwisów - kto uzyska hasła pewnie przeleci co bardziej popularne po user/pass z emaila.

@stary:
Zacznij używać KePass /LastPass - do każdego serwisu generujesz sobie inne hasło spełniające reguły bezpieczeństwa.

P.S.
PRzy zmiane hasła z linku też miałem to co jest opisane na niebezpiecznkiku przy używaniu FF/Opery (wywalanie sięzmiany hasła na cookies w drugim etapie). Pod Interent Explorerem poszło poprawnie. To kolejny dowód, że zarządzanie i pisanie webaplikacji w Ubi szwankuje - czasy serwisów IE only wydawało mi się, że mamy dawno za sobą.

[buri]

Przecież sami piszą że haslo encrypted. Czyli szyfrowane. Mam 9literowe, niech próbują zlamac.
sry za bledy piszę z androida bo lcd padl, i czekam na nowy a tu takie promocje. I nie ma jak kupić.

Jakbyś posiedział w temacie to byś wiedział, że te 9-literowe łamie się bardzo szybko. Obecnie dochodzą do 12-14 znaków (słowo klucz: "znaków" - małe/duże litery+cyfry+znaki specjalne+nawiasy+tablica ASCI+inne *klikklak*) jako bezpieczne, problemem jest zapamiętanie takiej kombinacji, ale wyżej wspomniane menadżery haseł potrafią zaradzić i na taki problem.

Szyfrowane, oni raczej powinni mieć dobrze, ale kto ich tam wie.

[pexpawlo]

Jakby komuś nie działała zmiana hasła przez błąd o cookies to odpalcie IE mi na nim zadziałało