Mercado fechará em 4 h 7 min
  • BOVESPA

    108.543,10
    +1.164,18 (+1,08%)
     
  • MERVAL

    38.390,84
    +233,89 (+0,61%)
     
  • MXX

    42.400,36
    +133,16 (+0,32%)
     
  • PETROLEO CRU

    44,24
    +1,18 (+2,74%)
     
  • OURO

    1.799,30
    -38,50 (-2,09%)
     
  • BTC-USD

    19.293,77
    +841,80 (+4,56%)
     
  • CMC Crypto 200

    380,42
    +10,67 (+2,88%)
     
  • S&P500

    3.602,04
    +24,45 (+0,68%)
     
  • DOW JONES

    29.906,95
    +315,68 (+1,07%)
     
  • FTSE

    6.420,15
    +86,31 (+1,36%)
     
  • HANG SENG

    26.588,20
    +102,00 (+0,39%)
     
  • NIKKEI

    26.165,59
    +638,22 (+2,50%)
     
  • NASDAQ

    11.887,00
    -18,25 (-0,15%)
     
  • BATS 1000 Index

    0,0000
    0,0000 (0,00%)
     
  • EURO/R$

    6,3934
    -0,0469 (-0,73%)
     

1,9 milhão de jogadores de game online para navegador tiveram dados expostos

Felipe Demartini
·3 minuto de leitura

Os dados de toda a base de jogadores do multiplayer massivo online (MMO, na sigla em inglês) para navegadores Street Mobster se tornaram vulneráveis após a identificação de uma brecha de segurança nos servidores do título. Endereços de e-mail, senhas e nomes usados por mais de 1,9 milhão de pessoas poderiam ser acessados por hackers, junto com informações sobre o próprio game, incluindo progresso e itens pagos disponíveis nas contas dos afetados.

A descoberta da vulnerabilidade foi feita pelos especialistas do CyberNews, site especializado em segurança da informação, e consiste em uma injeção SQLi. Basicamente, os hackers poderiam rodar códigos maliciosos a partir de campos de cadastro e login disponíveis no site do Street Mobster, incluindo o envio de comandos e informações que são respondidas como legítimas pelo banco de dados do game.

Assim, a partir de links maliciosos e explorações, os criminosos seriam capazes de obter os dados de, virtualmente, todos os jogadores do MMO. As informações serviriam não apenas para o roubo de contas do próprio jogo, como também para ataques de phishing em nome da BigMage Studios, desenvolvedora do título, e outros serviços, além de tentativas de invasão a outros perfis e plataformas nas quais os usuários, eventualmente, utilizassem as mesmas combinações de e-mail e senha.

Segundo os especialistas, as vulnerabilidades de injeção SQLi estão presentes em 8% dos sites e serviços online disponíveis na internet, ainda que a aplicação de correções seja simples. A brecha é citada como a maior ameaça da atualidade contra servidores conectados à internet pública e já foi responsável por grandes vazamentos de dados, como o que atingiu a TalkTalk, uma das principais operadoras de internet do Reino Unido, que se viu obrigada a pagar uma multa equivalente a quase R$ 3 milhões pelo vazamento de informações dos clientes.

<em>Jogado via navegador, Street Mobster tinha falha de segurança que poderia expor toda sua base de usuários (Imagem: Divulgação/BigMage Studios)</em>
Jogado via navegador, Street Mobster tinha falha de segurança que poderia expor toda sua base de usuários (Imagem: Divulgação/BigMage Studios)

De acordo com o relatório divulgado pelo CyberNews, a vulnerabilidade foi descoberta em agosto e informada aos desenvolvedores no final daquele mês. Entretanto, não houve resposta da BigMage Studios por mais de 90 dias após a revelação inicial, o que levou os pesquisadores a procurarem autoridades de regulação e privacidade da Bulgária, onde fica a sede da desenvolvedora, como forma de levar os responsáveis a aplicarem uma correção.

Ainda sem entrar em contato com os pesquisadores, a BigMage Studios resolveu o problema no começo deste mês de outubro, fechando a brecha e impedindo acesso posterior aos dados dos jogadores. Entretanto, devido à falta de contato com os desenvolvedores, não existem informações sobre eventuais acessos não autorizados ou vazamentos das informações que estavam disponíveis no servidor. O Canaltech também tentou contato com a produtora, mas não obteve resposta até a publicação desta reportagem.

Como se proteger?

A recomendação aos usuários potencialmente afetados é para que troquem suas senhas de acesso ao jogo e também de eventuais serviços que compartilhem as mesmas credenciais. Além disso, é importante que fiquem atentos a e-mails fraudulentos e tentativas de phishing. Desconfie de comunicações em nome dos administradores de Street Mobster, principalmente se elas contiverem links ou pedidos de download de aplicações, que não devem ser realizadas.

Por fim, vale a pena dar atenção a outras tentativas de comunicação, bem como ao estado de segurança das contas que, durante o tempo de conhecimento da vulnerabilidade, compartilharam os mesmos logins e senhas. Ativar sistemas de autenticação em duas etapas pode ser um bom caminho para evitar potenciais invasões e comprometimentos ligados a um possível vazamento de credenciais.

Endereços de e-mail, senhas e nomes de usuários, além de informações do próprio game, podiam ser acessadas a partir de brecha de segurança e atingiam toda a base de usuários. Falha já foi resolvida pelos desenvolvedores e não há informações sobre vazamentos

Fonte: Canaltech

Trending no Canaltech: