Die Angriffe auf Accounts von Spielern mehren sich in der letzten Zeit. Wie kürzlich bekannt wurde, blieb der Spieleentwickler Supercell davon ebenfalls nicht verschont. Supercell vertreibt zahlreiche erfolgreiche Spiele wie „Clash of Clans“ oder „Hay Day“. Betroffen waren nicht direkt die Spieleraccounts, sondern das Forum für die Spieler. Die Hacker machten sich eine Lücke im Forum zunutze und stahlen mehr als eine Million an Datensätzen von Spielern.
Sicherheitslücke genützt
Supercell nutzt für seine Foren die Software vBulettin in der es offensichtlich eine Schwachstelle gab. Diese Sicherheitslücke nutzten Hacker aus und sammelten zahlreiche Daten. Obwohl bereits im September 2016 die Datensätze mit E-Mail-Adresse, Passwort, IP-Adresse und Nutzernamen gestohlen wurden, ist nicht bekannt, wie viele Spieler genau betroffen sind. Laut Google Play gibt es zwischen 100 und 500 Millionen Nutzer, die ein Spiel von Supercell installiert haben. Die Anzahl der Nutzer des Forums mit rund 1,3 Millionen registrierter Nutzer ist zwar vergleichbar gering, aber noch immer sehr hoch. Nach Schätzungen dürften nahezu alle Spieler, die im Forum registriert waren, Opfer des Datendiebstahls geworden sein.
Nicht der erste Vorfall
Nicht zum ersten Mal gab es Probleme mit der Foren-Software vBulettin. In den letzten Jahren wurden die Foren verschiedenen Spieleentwickler, die diese Software nutzen, Opfer von Hackerangriffen. Mittlerweile soll die Sicherheitslücke behoben sein, allerdings gibt es noch immer große Schwachstellen in der Software. Dazu gehört in erster Linie das Verfahren, mit dem die Passwörter geschützt sind. Obwohl diese mittels Hash-Verfahren im Falle eines Datendiebstahls nicht nutzbar sein sollten, nutzt vBullettin ein schwaches Hash-Verfahren. Für Hacker ist der Aufwand zur Rekonstruktion der Passwörter sehr gering. Im Netz gibt es sogar Open-Source-Software, die es schafft in wenigen Sekunden ein Passwort auf das dieses Verfahren angewendet wurde, zu rekonstruieren.
Passwörter ändern
Es ist nicht bekannt, ob Supercell mögliche betroffene Nutzer informiert hat oder dies noch tun wird. In jedem Fall sollten Nutzer, die das Forum von Supercell nutzen unverzüglich ihr Passwort ändern. Zwar sind keine sensiblen Daten wie Zahlungsinformationen bei den Accounts des Forums gespeichert, viele Nutzer haben bei unterschiedlichen Accounts gleiche Passwörter. Daher sind besonders jene Spieler gefährdet, die beispielsweise ihre E-Mail-Adresse in Verbindung mit dem immer gleichen Passwort nutzen.