Blizzards World of Warcraft hacket
(27/06-2013) – Blizzard, selskabet bag det mytiske spil World of Warcraft, har lige udsendt en advarsel om, at deres Armory netop har været hacket.
Armory er en hjemmeside, hvor man kan se alle spilleres personager og tjekke dem ud, men det er også derfra, at man kan få adgang til Auktionshuset, hvor spillere sælger og køber ingame ting for “guld” (møntenheden i spillet).
De sidste fire dage har spillere beklaget sig til Blizzard over, at ingame ting og guld var forsvundet fra deres personager.
Det kan forekomme som noget pjat, men bag det gemmer der sig en stor industri: Mange (i særdeleshed kinesiske hackere) piraterer spillernes konti, ripper deres personager for alt (guld, udstyr, indhold i tasker, m.m.) for derefter at sælge guld via forskellige hjemmesider. Som regel går 20.000 guld nemt for 14 € eller 15 € (nogle gange mere, nogle gange mindre, det kommer an på server, og om det er Europa eller USA).
I det tilfælde fandt man ud af, at de hackede konti havde købt værdiløse ingame ting for formuer (noget med at købe et stykke, ingame, værdiløst tøj for 20.000 guld, for eksempel). Det er en måde at “hvidvaske” guldet, så det derefter kan sælges for dollars eller euro.
Blizzard endte med at tage fat i sagen, så nu kan armory og køb og salg af ting online eller via telefon app ikke ske længere, indtil de har lukket hullet. Men siden Blizzard ikke fandt ud af, at der var en stor sikkerhedsbrist, før efter at spillere i flere dage beklagede sig, kan det vist have lange udsigter.
Blizzard har et authenticator-system, så man skal, ved hjælp af mobiltelefonen, indtaste en kode for at få adgang til sin konto. Men også konti med authenticator blev hacket.
Blizzards support har forsikret, at de vil genskabe ting og guld for de spillere, som blev hacket, så de ikke lider skade.
Foreløbigt er der ingen yderligere forklaring på, hvordan piraterne har gjort. Jeg vil mene, at de har benyttet sig af et sikkerhedshul i telefon-app’en, for hvis man benytter sig af app’en, behøver man ikke indtaste sin authenticator-kode (forudsat man har den). Tricket, i så fald, ville være at lave en konto med authenticator, få koden bundet med kontoen, som man plejer, når man arbejder fra app’en. Åbenbart må denne forbindelse eksporteres til en fil, som er så “nøglen”, som man beholder for dermed at få adgang til andre konti. (Chill)