PlanetSwitch Planet3DS PlanetVita PSP.de PlanetiPhone Classics Forum

PGN-ID:[?] (Nicht eingeloggt)
Login
Registrieren
PlanetDS PlanetGameboy N-Page.de
Autor: PG-Team

Datum: 08.03.2019, 12:36 Uhr

Typ: Allgemein


Stichworte:

Nintendo 3DS

News mögen:

Weitersagen:

5470°

4

Achtung: Diebstahl von Logindaten auf PlanetVita / PlaystationPortable.de

Bitte ändert eure Passwörter!

Liebe Benutzer,

Vor einigen Tagen gelang es einem Angreifer, über eine Sicherheitslücke in der Suchfunktion von PlanetVita Zugang zu einer Datenbank-Tabelle zu erhalten, in der Zugangsdaten aus der Zeit vor der Einführung der PGN-ID abgelegt waren.

Wir wissen, dass der Angreifer aus dieser Tabelle mindestens die verschlüsselten Passworte einiger tausend Nutzer auslesen konnte, bevor der Angriff zwei Stunden, nachdem er begann, von unseren Admins bemerkt und unterbunden wurde. Die Sicherheitslücke wurde gleichzeitig von unseren Entwicklern geschlossen.

Wir glauben, dass nur Nutzer betroffen waren, deren Nutzerkonten vor über 10 Jahren angelegt wurden und von denen die meisten schon lange nicht mehr aktiv sind.

Wir wissen, dass der Angreifer keinen Zugriff auf die PGN-ID-Zugangsdaten hatte, die auf einem anderen Server – https://login.portablegaming.de – liegen.

Dennoch möchten wir euch alle zur Sicherheit bitten, euer Passwort zu ändern.

Wir arbeiten an weiteren Vorkehrungsmaßnahmen, um solche Zwischenfälle in Zukunft besser verhindern zu können.

Euer portablegaming.de Team


Quelle:  
ANZEIGE:
Kommentare verstecken

4 Kommentare

profil 625 comments
[09.03.2019 - 10:46 Uhr]
Troublemaker T. G.
Darf man in Erfahrung bringen...
- auf welche Art und Weise die Passwörter verschlüsselt waren (Algorithmus, Salt, Verschlüsselung, Hash,...)?
- ob auch andere Daten außer den Passwörtern betroffen sind (z.B. E-Mail)?
profil 176 comments
[09.03.2019 - 22:42 Uhr]
Daverball David Salvisberg
Die Passwörter für Accounts, die keine PGN-ID erstellt und verknüpft haben sind leider noch mit MD5 verschlüsselt. Wir arbeiten daran PGN-ID zu verbessern und werden die alten Login- und Registrierungsmethoden deaktivieren, sobald das gemacht ist.

Bei der Gelegenheit werden wohl die MD5 Hashes, die noch drin sind zusätzlich mit Blowfish gehasht, das würde die Sicherheit zwar noch nicht ganz auf Blowfish Level bringen, da der MD5 am Anfang der Kette bereits die Entropie von guten Passwörtern schwächt, aber es wäre natürlich trotzdem besser als ein reiner MD5.

PGN-ID verwendet bereits jetzt eine Blowfish Variante.

Auf der sicheren Seite ist man aber schlussendlich nur, wenn man überall ein anderes Passwort verwendet, oder zumindest bei den wichtigsten Accounts und Services, die nicht in andere Hände geraten dürfen.
profil 625 comments
[09.03.2019 - 23:19 Uhr]
Troublemaker T. G.
Danke für die Info.
profil 3173 comments
[11.03.2019 - 09:31 Uhr]
Iwazaru:
Kann man sein Profil auch komplett löschen lassen?
Diese News ist älter als eine Woche.
Kommentieren nicht mehr möglich...