Actualización de Seguridad Battle.net

WeFun4U

Ni actualización ni leches, unos hackers les han echo tras tras por detras y no saben como decirnoslo

Os pego el comunicado:

šJugadores y amigos:

Aunque trabajemos en el negocio de la diversión, no todas las semanas son divertidas. Esta semana, nuestro equipo de seguridad descubrió un acceso no autorizado e ilegal a la red interna de Blizzard. Tomamos medidas para cerrar el acceso rápidamente y empezamos a colaborar con las autoridades y con expertos en seguridad para investigar lo sucedido.

A día de hoy, no hemos encontrado ninguna prueba que sugiera que se hayan comprometido datos financieros como tarjetas de crédito, direcciones de facturación o nombres reales. Nuestra investigación sigue en marcha, pero hasta el momento nada indica que se haya accedido a esos datos.

Hubo un acceso ilegal a algunos datos, entre los que se incluye una lista de direcciones de correo electrónico de usuarios globales de Battle.net fuera de China. En el caso de los jugadores de servidores de Norteamérica (entre los que se suelen contar jugadores de Norteamérica, Latinoamérica, Australia, Nueva Zelanda y el sureste asiático), también se accedió a la respuesta a la pregunta de seguridad personal y a información relacionada con el Authenticator para móviles y el Dial-In Authenticator. Según nuestra información actual, estos datos por sí solos NO permiten que alguien pueda acceder a una cuenta de Battle.net.

También sabemos que se ha tenido acceso a unas versiones codificadas criptográficamente de contraseñas de Battle.net (no las contraseñas reales) de jugadores de los servidores de Norteamérica. Para proteger las contraseñas utilizamos el protocolo Secure Remote Password (SRP), un protocolo diseñado para que sea extremadamente difícil extraer la contraseña real; también significa que cada contraseña tendría que ser descifrada individualmente. Sin embargo, a modo de precaución recomendamos a los jugadores que jueguen en los servidores de Norteamérica que cambien su contraseña. Además, si utilizáis la misma contraseña o contraseñas similares en otros lugares, podríais considerar cambiarlas también.

Durante los próximos días advertiremos a los jugadores de Norteamérica para que cambien sus preguntas y respuestas secretas mediante un proceso automatizado. Además, advertiremos a los usuarios del Authenticator para móviles para que actualicen el software de su Authenticator. Os recordamos también que los correos electrónicos fraudulentos (phishing) os pedirán vuestra contraseña o vuestra información de inicio de sesión. Los correos electrónicos de Blizzard Entertainment jamás os pedirán vuestra contraseña. Lamentamos profundamente los inconvenientes que esto os ha podido causar y entendemos que tendréis preguntas. Encontraréis información adicional aqui.

Nos tomamos la seguridad de vuestra información personal muy en serio y lamentamos sinceramente que haya sucedido esto.

Atentamente,
Mike Morhaime š
Fuente :http://eu.blizzard.com/es-es/securityupdate.html

Yo creo que esto ya es la gota que colma el barril.Esto es un total cachondeo. No se como a una empresa asi puede pasarle algo como esto

elkaos140

Parecen nuevos los de blizz en esto.

-Orb-

Ni dejándolo coger polvo en la estantería podemos estar tranquilos, valiente bazofia de juego.

12
B

habrá tenido acceso a la base de datos del juego y poder incluir items como quiere?

PiradoIV

Un saludo a toda la gente que decía que era imposible que Blizzard fuese hackeada alguna vez '¬¬, y no es que me alegre, es que la fe ciega de la gente ya era exasperante.

Ahora a tapar el agujero pronto.

11
RiVeRwInD

No les defiendo pero: si hay hackers que revientan al FBI o a la NASA me parece lógico que algún cracker quiera reventar Blizzard pa llevarse una pasta o hacerse un natalya perfecto XD

S

Tenian un sqli en una de las paginas del diablo 3 ahi fresco.

1 respuesta
neo-ns

quien habla del juego? dicen la red interna de Blizzard por lo que puede ser: TODO, wow.. diablo, starcraft, etc.

novikk

#7 Si, seguro que era un sqli, claro que si campeon

1 respuesta
S

#9 tenian un sqli injection aqui:
http://us.battle.net/d3/en/class/barbarian/ -> http://us.battle.net/d3/en/class/barbar'ian/
Y probablemente en mas sitios.
Ya esta fixeado, pero es parecido al fallo que hay aqui, para que lo entiendas:
http://eu.battle.net/wow/es/blog/1020426
http://eu.battle.net/wow/es/blog/1020'426
Aqui tan solo comprueba que sea un int, y peta el server. Lo otro era un string y se comia toda la sqli.

1 respuesta
wiLly1

Zas en toda la boca

Angel89

valientes timadores inutiles...........

HeXaN

Sarwaz el hacker de nuevo en acción.

1 respuesta
0buS

http://www.vidaextra.com/industria/blizzard-confirma-que-battle-net-ha-sido-hackeada

novikk

#10 Da error 500 porque no hay ninguna regla del mod_rewrite del htaccess que se corresponda con http://eu.battle.net/wow/es/blog/1020'426, pero de ahi a ser un sqli, y mas que de un sqli saquen lo que han sacado, va un trecho.
Con eso no hacen nada, con un sqli algo harian, pero nada de esta seriedad.

1 respuesta
S

#13 Mas que tu desde luego es facil entender
#15 Lo que hay en esa url es un parametro que no se sanea correctamente. El htaccess no es mas que un filtro que pasas tranquilamente por que no esta bien configurado, pero el error viene del server al no poder manejar el parametro de entrada. Es el tipico error de mal saneamiento de parametros, solo comprueba que sea un entero, haciendo de pura casualidad, que no se puedan hacer ataques sqli. Con el mismo fallo en un string tiene el error grave. Hace poco mas de un mes le paso exactamente lo mismo a la pagina de league of legends...

1 respuesta
iZueL

por lo menos lo dicen xDD

WeFun4U

#16 pero que dices tio? vete al foro de hardware y software y comentas ahi tus paranoyas incomprensibles

FuLG

ocurrió lo mismo en el LoL?
Vaya... pensaba que era otro post para meter mierda a Blizzard y lo ensuciais con explicaciones de mvhackers razonadas... ¿Ahora que?:(

Spacelord

¿Va en serio que era sql injection? ¡JUAAAAAAS! ¿Pero como se puede ser tan inútl?

1 respuesta
HeXaN

#20 Hicieron una interfaz en Visual Basic para sacar la IP y ale, hackeado.

7
S

La verdad es que me lo paso pipa con los neofitos que ni mascado lo entienden.

RiVeRwInD

Yo me lo paso pipa con los que se lo pasan pipa porque gente que no tiene estos conocimientos lo entendemos...
Yo me podré descojonar de tí porque habrá entornos y situaciones que yo domine y tu no tengas ni zorra... pero oye... libertad.

Ey, un tema... ¿Y porque no se intenta hablar de la situación que ha tenido blizzard y no se deja de discutir sobre quien la tiene mas larga y quien es el que más sabe? Hasta donde yo sé ninguno de vosotros ha estado 15 años en la carcel por hackear y robar millones asi que... para mi todos teneis puta idea de hackeo XD

2 respuestas
HeXaN

#23 Lee cuatro cosas en un foro guiri y ya se cree hacker xD

1 respuesta
S

#23 Jamas me voy a reir de nadie que no tenga conocimientos de un tema, y si he dado a entender eso simplemente pido disculpas. Solo pretendia compartir ciertos detalles de lo que ha pasado en este foro.
Quien me hace gracia es el que se da listo y pone tonterias , ejemplo #24 . Me resulta muy gracioso que algun personaje sin tener ni idea de lo que leo, hago o quien soy ponga mensajes de ese tipo. Estaria encantado de discutir cosas tecnicas sobre la vulnerabilidad, pero me temo que no tienes por donde empezar.

SikorZ

Sarwaz el nuevo 0z4m4 de media-vida.

Hay que ver la de sandeces que hay que leer madre mia..

Respecto a Blizzard... Pues algo se sabia que habia, con tanto hackeo que hubo y saltandose el check de las regiones pues o sabian la respuesta correcta o tu me diras XD

1 comentario moderado
ArThoiD

Este hackeo ocurrió cuando se colaban en las cuentas pero lo sueltan ahora.

A tomar por culo todos los fanboys que decían que no blablabla.

1
Adenis

http://www.bbc.com/news/technology-19207276

HeXaN

Lo dice todo.

2