Pada hari Selasa, Ubisoft mengakui bahwa database Uplay nya hacked. Perusahaan mengatakan para penyerang telah memperoleh akses ke username, email, dan password terenkripsi. Untungnya, informasi keuangan belum diganggu.
Sejumlah besar perusahaan profil tinggi telah di hacked belakangan ini. Fakta bahwa Ubisoft bergabung barisan mereka tidak sangat mengejutkan.
Namun, para ahli mengatakan mereka tidak sepenuhnya puas dengan cara Ubisoft menangani pengungkapan. Selanjutnya, praktek enkripsi password perusahaan dipertanyakan.
Avira Security Expert dan Product Manager Sorin Mustaca telah berbagi beberapa wawasan dengan Softpedia mengenai hack Ubisoft.
Ahli berpendapat bahwa ada dua kemungkinan skenario yang menyebabkan pelanggaran:
- Perangkat lunak yang berjalan pada sistem ini adalah rentan dan penjahat dieksploitasi kerentanan;
- Para cybercrooks mendapat kepemilikan login beberapa karyawan Ubisoft (s) dan telah menggunakan mereka untuk mendapatkan data.
"Menggunakan serangan khusus (rekayasa sosial, spear phishing, malware ditargetkan, serangan 'air-holing') terhadap karyawan, mungkin komputer di dalam Ubisoft mendapat terinfeksi dan karyawan curiga mendapat identitasnya dicuri. Mendapatkan kredensial yang valid kadang lebih mudah dicapai daripada mengeksploitasi kerentanan, "jelas Mustaca.
Namun, pernyataan berikut dari Ubisoft adalah apa yang paling mengkhawatirkan Mustaca dan lainnya ahli:
"Password tidak disimpan dalam teks yang jelas-tetapi sebagai nilai yang dikaburkan. Ini tidak dapat dikembalikan tapi bisa retak, terutama jika password yang dipilih adalah lemah. "
"Ini memberitahu saya bahwa kemungkinan besar password hanya hash menggunakan algoritma seperti MD5. De-facto standar hari ini adalah dengan menggunakan SHA256 dan garam, "kata Mustaca.
Ahli keamanan Graham Cluley setuju.
"Itu tidak terdengar sangat menghibur bagi saya, dan menunjukkan bahwa Ubisoft tidak mungkin telah mengikuti praktek terbaik untuk mengamankan password yang. Semoga, hacker tidak berhasil memecahkan password ... Itu akan membuat situasi yang buruk bahkan lebih buruk lagi, "kata Cluley.
Trend Micro Rick Ferguson menyebut pemberitahuan pelanggaran "gagal." Bukan hanya karena perusahaan tidak jelas menjelaskan jenis enkripsi itu menggunakan, tetapi juga karena sudah termasuk link dalam email yang dikirim kepada pelanggan yang terkena dampak.
"Jika Anda sebagai sebuah organisasi pernah memiliki kemalangan harus memberitahukan pelanggan Anda dari pelanggaran, tidak pernah menyertakan link dalam surat ulang, mendorong perilaku tidak aman dalam basis pelanggan Anda dan membuat mereka terbuka lebar untuk serangan phishing yang tak terelakkan yang selalu mengikuti acara semacam ini, "kata Ferguson.
Jadi, hal terbaik pelanggan Ubisoft dapat Anda lakukan adalah mengubah semua password mereka yang sama dengan yang digunakan untuk Uplay. Mengubah hanya password Uplay tidak cukup dalam hal kemungkinan bahwa hash dikompromikan dapat dengan mudah retak.
Sources :Softpedia
0komentar:
Post a Comment