1,9 milhão de jogadores de game online para navegador tiveram dados expostos

Os dados de toda a base de jogadores do multiplayer massivo online (MMO, na sigla em inglês) para navegadores Street Mobster se tornaram vulneráveis após a identificação de uma brecha de segurança nos servidores do título. Endereços de e-mail, senhas e nomes usados por mais de 1,9 milhão de pessoas poderiam ser acessados por hackers, junto com informações sobre o próprio game, incluindo progresso e itens pagos disponíveis nas contas dos afetados.

• Falha de segurança permitia roubo de contas do game Free Fire
• Tentativa de golpes contra gamers cresceu durante a pandemia, aponta estudo
• Kaspersky lança pacote de segurança voltado para jogos online

A descoberta da vulnerabilidade foi feita pelos especialistas do CyberNews, site especializado em segurança da informação, e consiste em uma injeção SQLi. Basicamente, os hackers poderiam rodar códigos maliciosos a partir de campos de cadastro e login disponíveis no site do Street Mobster, incluindo o envio de comandos e informações que são respondidas como legítimas pelo banco de dados do game.

Assim, a partir de links maliciosos e explorações, os criminosos seriam capazes de obter os dados de, virtualmente, todos os jogadores do MMO. As informações serviriam não apenas para o roubo de contas do próprio jogo, como também para ataques de phishing em nome da BigMage Studios, desenvolvedora do título, e outros serviços, além de tentativas de invasão a outros perfis e plataformas nas quais os usuários, eventualmente, utilizassem as mesmas combinações de e-mail e senha.

Segundo os especialistas, as vulnerabilidades de injeção SQLi estão presentes em 8% dos sites e serviços online disponíveis na internet, ainda que a aplicação de correções seja simples. A brecha é citada como a maior ameaça da atualidade contra servidores conectados à internet pública e já foi responsável por grandes vazamentos de dados, como o que atingiu a TalkTalk, uma das principais operadoras de internet do Reino Unido, que se viu obrigada a pagar uma multa equivalente a quase R$ 3 milhões pelo vazamento de informações dos clientes.

De acordo com o relatório divulgado pelo CyberNews, a vulnerabilidade foi descoberta em agosto e informada aos desenvolvedores no final daquele mês. Entretanto, não houve resposta da BigMage Studios por mais de 90 dias após a revelação inicial, o que levou os pesquisadores a procurarem autoridades de regulação e privacidade da Bulgária, onde fica a sede da desenvolvedora, como forma de levar os responsáveis a aplicarem uma correção.

Ainda sem entrar em contato com os pesquisadores, a BigMage Studios resolveu o problema no começo deste mês de outubro, fechando a brecha e impedindo acesso posterior aos dados dos jogadores. Entretanto, devido à falta de contato com os desenvolvedores, não existem informações sobre eventuais acessos não autorizados ou vazamentos das informações que estavam disponíveis no servidor. O Canaltech também tentou contato com a produtora, mas não obteve resposta até a publicação desta reportagem.

Como se proteger?

A recomendação aos usuários potencialmente afetados é para que troquem suas senhas de acesso ao jogo e também de eventuais serviços que compartilhem as mesmas credenciais. Além disso, é importante que fiquem atentos a e-mails fraudulentos e tentativas de phishing. Desconfie de comunicações em nome dos administradores de Street Mobster, principalmente se elas contiverem links ou pedidos de download de aplicações, que não devem ser realizadas.

Por fim, vale a pena dar atenção a outras tentativas de comunicação, bem como ao estado de segurança das contas que, durante o tempo de conhecimento da vulnerabilidade, compartilharam os mesmos logins e senhas. Ativar sistemas de autenticação em duas etapas pode ser um bom caminho para evitar potenciais invasões e comprometimentos ligados a um possível vazamento de credenciais.

Endereços de e-mail, senhas e nomes de usuários, além de informações do próprio game, podiam ser acessadas a partir de brecha de segurança e atingiam toda a base de usuários. Falha já foi resolvida pelos desenvolvedores e não há informações sobre vazamentos

Fonte: CyberNews