Wer die News der letzten Wochen verfolgt hat, weiß bereits, dass es einem Hacker gelang, mehrere Webseiten zu knacken und über 620 Millionen Accountdaten zu stehlen. Nun hat sich ein weiteres Opfer hinzugesellt: Die Pen-and-Paper-RPG-Seite Roll20.net.
4 Millionen Accounts betroffen
Nachdem eine Nachricht von Techcrunch offenbarte, dass noch weitere Seiten betroffen waren, meldete sich Steve K. vom Roll20-Team zu Wort.
Earlier today, Roll20 was named in a report as one of several victims of an attack by cybercriminals. While we can confirm a breach did occur, we are currently focused on finding out all the facts. For now, it’s important to note the report makes clear that no financial data was included in the breach.
Steve K., Roll20-Team
Our security teams work tirelessly to fix potential weaknesses in our systems, and we take seriously our responsibility to safeguard our users’ personal information.
Here’s how we do that:
Roll20 only maintains the following personal information: users’ name, email address, hashed password, last login IP and time of login, and the last 4 credit card digits.
We use Stripe and PayPal to process transactions; all billing information is handled by them and never touches our servers.
We utilize bcrypt for password hashing, which means that it cannot be reverse-engineered for utilization with other sites or to access Roll20.
We know it’s frustrating to not have all the facts, and we’re working to uncover the full extent of this breach. We will be continuously updating our members with information as our investigation continues.
Übersetzt heißt dies etwa:
Uns erreichte heute die Nachricht, dass Roll20 eines von mehreren Opfern von Cyberkriminellen wurde. Wir können zwar bestätigen, dass es zu einem Eindringen kam, und sind aktuell damit beschäftigt, die genauen Umstände herauszufinden. Wir können euch aber bestätigen, dass keine Zahlungsinformationen an Unbefugte übermittelt wurden.
Unser Sicherheitsteam arbeitet mit Hochdruck daran, mögliche Schwachstellen zu beseitigen und wir nehmen unsere Verantwortung, die persönlichen Daten unserer Nutzer zu schützen, sehr ernst.
[…]Roll20 speichert die folgenden persönlichen Informationen: Nutzernamen, Email-Adressen, gehashte Passwörter, die letzte Login-IP und die Zeit des Logins, sowie die letzten 4 Ziffern der Kreditkarte.
Wir nutzen Stripe und Paypal, um Zahlungstransaktionen durchzuführen; alle Rechnungsinformationen werden von diesen Unternehmen gespeichert und haben nie etwas mit unseren Servern zu tun. Wir nutzen bcrypt für das Hashen von Passwörtern, was bedeutet, dass sie nicht per Reverse-Engineering genutzt werden können, um sie mit anderen Seiten oder mit Roll20 zu verwenden. Wir wissen, dass es frustrierend ist, nicht alle Informationen zu haben und wir arbeiten daran, den vollen Umfang dieser Attacke zu erfassen. Wir werden unsere Nutzer konstant über den Status unserer Untersuchung informieren.
Steve K. (Grobe Übersetzung von Sven)
Auch wenn dies beruhigend klingt, ist es dennoch nicht verkehrt, wenn ihr eure Passwörter regelmäßig – und gerade nach größeren Hacks wie diesem – aktualisiert und ändert, um so auf Nummer sicher zu gehen.
747 Millionen Userdaten betroffen
Laut TechCrunch waren initial insgesamt 16 Seiten mit 620 Millionen Nutzern betroffen, ehe weitere 127 Millionen von 8 weiteren Seiten dazukamen.
Der Hacker bot die Daten im Dark Web für rund 20.000 US-Dollar in Bitcoins an und stahl die Daten im letzten Jahr von mehreren großen Seiten. Darunter waren 151 Millionen Datens#tze von MyFitnessPal und 25 Millionen von Animoto, was bereits bekannt war. Aber einige wussten davon noch nichts, wie etwa 500px und Coffee Meets Bagel. Für eine genaue Auflistung verweisen wir hier an den ursprünglichen TechCrunch-Artikel. Neben Roll20 gesellten sich dieses Mal unter anderem das Multiplayer-Game Stronghold Kingdom und die Live-Stream-Plattform YouNow! hinzu.
Sicherheit geht vor
Es gibt im Web bereits unzählige Webseiten, die gute Tipps zur eigenen Sicherheit im Netz vorgeben, aber wir geben euch auch nochmal fix ein paar Ratschläge.
- Grundsätzlich ist es zu empfehlen, niemals für zwei Seiten die gleichen Passwörter zu verwenden.
- Wer wissen will, ob sein Passwort betroffen ist, dem ist die Seite haveibeenpwned.com ans Herz gelegt, wo man prüfen kann, ob die eigene Mailadresse schon komprimiert wurde.
- Passwort-Manager helfen ebenfalls dabei auch sehr unterschiedliche und komplexe Passwörter im Blick zu behalten.
- Erweiterungen wie Password Checkup für Google Chrome helfen ebenfalls dabei, sichere Passwörter zu generieren.
- Wer ein Passwort generieren lassen möchte, der kann diesen Online Passwort-Generator nutzen.
Und PnPnews so?
Wir speichern eure Accountdaten, so ihr einen Account bei uns habt, verschlüsselt und gehashed. Wir arbeiten hier auch an weiteren Verbesserungen bzgl. der Verschlüsselung.
Ganz neu haben wir auch eine 2-Faktor Authentifizierung implementiert, die ihr über eure Accountseite aktivieren und verwalten könnt. Dies erhöht den Schutz eures Accounts auch noch einmal. Solltet ihr dabei Probleme haben, so meldet euch einfach kurz bei uns, wir helfen gerne!
Wenn ihr weitere gute Tipps zur Accountsicherheit habt, schreibt sie uns gerne in die Kommentare!