هک شدن فوروم Clash of Kings

هک شدن فوروم Clash of Kings

به گزارش سایت ZDNet یک بازی گوشی هوشمند بانام Clash of Kings دو هفته پیش هک شد و مجرمین سایبری اطلاعات 1.6 میلیون کاربر را سرقت نمودند. هکرها توانستند به فوروم این بازی نفوذ کنند، که توسط شرکت چینی Elex مدیریت می‌شود، و اطلاعاتی شامل اسم کاربر، آدرس ایمیل، آدرس IP، شناسه وسایل، داده‌های Facebook برای Login و token های دسترسی بیش از 1.5 میلیون کاربر را سرقت کنند.
تمامی اسم رمزهای ذخیره‌شده در پایگاه داده‌های اطلاعاتی نقض شده به‌صورت salted و hash شده بوده است پس هکرها باید اول آنها را رمزگشایی کنند و درنتیجه به‌سختی می‌توانند از آن سوءاستفاده کنند. این هک به نظر می‌رسد که بر روی همه بازیکنان این بازی محبوب آنلاین اثر نداشته است و فقط اطلاعات بازیکنان ثبت‌شده در سیستم به مخاطره افتاده است. این بازی بیش از 100 میلیون نصب بر روی گوشی‌های اندروید داشته است.
هنوز مشخص نیست که مسئولین این هک چه کسانی هستند اما روش نقض مشخص‌شده است. به نظر می‌رسد که هکرها از یک نقض امنیتی شناخته‌شده در vBulletin استفاده کردند. vBulletin نرم‌افزار است که برای فوروم Clash of Clans و دسترسی به داده‌های حساس استفاده می‌شود و این سایت از یک نسخه به‌روزرسانی نشده از vBulletin استفاده می‌کرد.
این نقض در دو هفته پیش اتفاق افتاد (14 جولای 2016) و در آن زمان اعلامیه رسمی برای این نقض صادر نشد. این بدان معنا است که مسؤولین سایت متوجه این هک نشدند و یا به دلایل امنیتی و جهت محافظت از خود، کاربران و بازیکنان آن را اعلام نکردند.
در حال حاضر مشخص نیست که آیا هکرها اسم رمزها را رمزگشایی کرده‌اند یا خیر و توصیه می‌شود که بازیکنان Clash of Kings اسم رمزهای خود را تغییر دهند و از همان اسم رمز در جای دیگری در اینترنت استفاده نکنند. دو چالش و نگرانی در اینجا وجود دارد. اول اینکه مسئولین هنوز خبری در مورد این نقض اعلام نکرده‌اند و نسخه vBulletin آن فوروم هنوز به‌روزرسانی نشده است.
ادمین (Admin) های سایت‌های مدرن بهتر است که آگاه باشند که سایت آنها امروزه فقط یک بروشور آنلاین باهدف تبلیغ محصولات، خدمات و یا شرکت نیست. این سایت‌ها به نرم‌افزارهای پیچیده تبدیل‌شده‌اند که صدها هزار خطوط کد دارند و به همین دلیل ممکن است دارای آسیب‌پذیری و bug های مختلفی باشند.
هکرها می‌توانند به‌راحتی از موتورهای جستجو برای جستجو سایت‌ها با آسیب‌پذیری‌های شناخته‌شده استفاده کنند. با به‌روزرسانی و پچ کردن نرم‌افزار و سایت‌ها می‌توان ریسک‌ها را به حداقل رساند و از نقض و نشت داده جلوگیری نمود و درنهایت از کاربران و مشتریان محافظت نمود.