Blizzard har hackats – vad händer nu?

Så, en ny dag, och ett nytt ”stort” hack. Den här gången är det Blizzard som fått motta hugg från hackarnas yxa. Någon eller några hade tillgång till deras interna nätverk och de upptäckte det för ungefär en vecka sedan.

Blizzard skriver följande som kommentar på hacket:

While there is currently no evidence that any of the password or player data has been misused, we encourage our North American players to change their passwords.

Utöver det måste man, som alltid, komma ihåg att det finns en risk för riktade phishing-attacker eftersom de fick tillgång till kontoinformation.

De skriver även:

We’ll also prompt mobile authenticator users to update their authenticator software.

Detta är förmodligen för att man ska få ett nytt ”seed-värde” i sin authenticator. Det vanligaste sättet sådan två-faktorsautentisering fungerar på är att varje användare har ett unikt ID/seed-värde som används för att beräkna nya koder. Om man har tillgång till vilken algoritm som används för att generera numren, och vilket ID/seed-värde som ett visst konto har så borde man kunna räkna ut nya koder. Blizzard skriver även att de tror att de som har den fysiska enheten för två-faktorsautentisering är säkra. Det ska alltså bara gälla de som använder mobilappen.

En annan viktig sak som de skriver är:

In the coming days we will implement an automated process for all users to change their secret questions and answers, as a precautionary measure.

Som vi alla påmindes av Mat-incidenten, så är en kedja bara så stark som dess svagaste länk. Jag förstår inte varför vissa envisas med att klappa sig själva på axeln för att de har implementerat säkerhet via ”krypterade sessioner, blah, blah, hashade lösenord”, när allt som krävs för att få åtkomst är att veta användarens favoritlärare i skolan, mammans efternamn, eller genom ett samtal till supporten?

Säkerhetsfrågor är generellt sett väldigt dumt. Alla säger ”Åh! Du måste ha ett lösenord som är så-och-så svårt, skäms om du inte har det!!” men sen lägger de till ”Förresten, som ett extra sätt att komma åt ditt konto, vad heter ditt husdjur?”. Ibland får man skriva en egen valfri fråga, men det är oftast inte bättre eftersom folk inte förstår riskerna som finns. En vän till mig hade ”Skriv bajs tre gånger” (på svenska) som en säkerhetsfråga, eftersom ”en ond hackare inte förstår svenska”, och kanske inte insåg när säkerhetsfrågan används. Han var i och för sig mycket yngre när han skapade det kontot, men ändå…

Generella kontorekommendationer:

  • Använd säkra lösenord
    Lösenord är uppenbarligen det vanligaste sättet för att bekräfta åtkomst till konton online, och det är lätt att förstå varför. Alla kan göra det, och det är lätt att förstå konceptet. Jag rekommenderar starkt att man använder ett program för att spara lösenorden (t.ex. KeePass eller 1Password) både på datorn, och i mobiltelefonen.
  • Använd bättre säkerhetsfrågor och -svar
    Man måste inse att folk KOMMER att spendera tid på att försöka ta reda på svaret på säkerhetsfrågor för att få åtkomst till konton. Personligen så föredrar jag att använda det som ett sekundärt lösenordsfält, och använder min lösenordshanterare för att skapa ett nytt unikt lösenord som säkerhetssvar. Det är dock väldigt viktigt att tänka på att svaren på frågorna oftast sparas i klartext, så använder aldrig någonsin ett vanligt lösenord som svar på en säkerhetsfråga.
  • Använd två-faktorsautentisering om möjligt
    Vissa tjänster erbjuder två-faktorsautentisering via fysiska enheter, mobilappar, SMS eller liknande. Använd sådana alternativ! Med Gmail kan du använda antingen SMS eller en app. Blizzard har både en fysisk enhet, och en mobilapp, men, frågan är hur säkra de är nu, i alla fall tills man har ”skapat om” sitt seed-värde.
  • Säkra ditt e-postkonto
    Om någon får tillgång till ditt e-postkonto så får de oftast tillgång till alla dina konton. Antingen via social engineering, eller bara genom att använda funktioner som ”Jag har glömt mitt lösenord, e-posta en återställningslänk”. Det är av yttersta vikt att du säkrar ditt e-postkonto. Om du MÅSTE ha lösenord du kan memorera istället för att använda ett program för lösenordshantering (rekommenderas!), så ha alltid ALLTID ett unikt lösenord för din e-post. Det lösenordet ska aldrig någonsin användas någon annanstans. Tänk också på att du kanske har angett ett gammalt ”sekundärt e-postkonto” när du skapade ditt e-postkonto? Den kanske är satt till en gammal Yahoo-adress som du inte längre använder eller har tillgång till. Byt eller ta bort den helt!

Missa inget!

Prenumerera på Säkerhetsbloggen via e-post!

One comment

Your email address will not be published.