Offizielles Clash-of-Clans-Forum gehackt, angeblich über 1 Million Konten betroffen
Supercell, der Spiele-Entwickler von absurd erfolgreichen Titeln wie "Clash Royale" für mobile Geräte, gesteht einen Hack seines Forums ein. Allem Anschein nach, lassen sich die abgezogenen Passwörter vergleichsweise einfach knacken.
Das offizielle Forum für die mobilen Spieltitel "Boom Beach", "Clash of Clans", "Clash Royale" und "Hay Day" ist Opfer eines Hacker-Angriffs geworden, warnt der Entwickler Supercell.
Unbekannte Angreifer sollen sich bereits im September 2016 Zugang zum Server verschafft und dabei E-Mail-Adressen und vermeintlich geschützte Passwörter erbeutet haben. Die Leaking-Plattform LeakBase hat Motherboard Beispiel-Daten von 100 Accounts zugespielt – darunter sollen sich auch IP-Adressen und Nutzernamen befinden.
Auf die Nutzer-Accounts der einzelnen Spieltitel sollen die Hacker keinen Zugriff gehabt haben, versichert Supercell.
Nur ein Bruchteil aller Spieler im Forum aktiv
Insgesamt sind laut LeakBase 1,1 Millionen Foren-Accounts von dem Hack betroffen. Dieser Zahl zufolge hat es offensichtlich fast alle Nutzer erwischt: Laut der Foren-Statistik sind derzeit über 1,3 Millionen Mitglieder im Forum registriert.
Die Zahl der betroffenen Konten ist hoch, vor dem Hintergrund der in Google Play zwischen 100 und 500 Millionen angegebenen Installationen scheint aber nur ein Bruchteil aller Spieler im offiziellen Fourm aktiv zu sein.
Passwörter leicht zu rekonstruieren
Die Angreifer sollen über eine Sicherheitslücke in der Foren-Software vBulettin eingestiegen sein. Mittlerweile soll die Schwachstelle geschlossen sein, versichert Supercell. Problematisch ist, dass die abgezogenen Passwörter zwar geschützt (Hash) sein sollen, dafür setzt vBulletin aber auf das schon lange als unsicher geltende Hash-Verfahren MD5. Trotz einer zur weiteren Verschleierung des Passworts angehängten Zusatzzahl (Salt), soll man die Kennwörter mit überschaubaren Aufwand rekonstruieren können.
Das berichtet der Sicherheitsforscher und Betreiber der Leaking-Plattform "Have I been pwned" Troy Hunt. Vor rund einem Jahr analysierte er von vBulletin gehashte Passwörter mit Salt und konnte viele in sekundenschnelle mit dem Open-Source-Tool hashcat knacken. Das liegt Troy zufolge mitunter daran, dass ältere vBulletin-Versionen (jünger als Ausgabe 3.8.5) nur sehr kurze Salt-Werte an den Passwort-Hash hängen.
Kennwort jetzt ändern!
Ob Supercell betroffene Nutzer direkt informiert, ist bislang nicht bekannt. In jedem Fall sollte jeder, der im Forum einen Account hat, sein Passwort besser ändern. Kommt dieses auch bei anderen Online-Services zum Einsatz, ist auch dort ein Wechsel fällig. (des)