Epic Games : Hacker erbeuten erneut Daten von Forennutzern

, 10 Kommentare
Epic Games: Hacker erbeuten erneut Daten von Forennutzern

Die Foren von Epic Games sind erneut das Ziel von Hackern geworden. Gestohlen wurden persönliche Daten, E-Mail-Adressen und verschlüsselte Passwörter. Welche Daten genau gestohlen wurden – die Untersuchungen laufen noch –, unterscheidet sich zwischen den verschiedenen Epic-Games-Foren.

Bei aktuellen Foren ist keine Passwortänderung nötig

Aus den Foren für die Unreal Engine und Unreal Tournament wurden nach aktuellem Stand E-Mail-Adressen sowie Daten aus der Account-Datenbank von vBulletin entwendet. Account-Passwörter in egal welcher Form seien jedoch nicht betroffen, sie werden an einem anderen Ort gespeichert. Daher sind diese beiden Foren weiter online und eine Änderung des Passworts ist nicht notwendig.

Aus älteren Foren wurden verschlüsselte Passwörter erbeutet

Anders sieht es bei den älteren Foren für Infinity Blade, das Unreal Development Kit und ältere Unreal-Tournament-Spiele sowie archivierten Gears-of-War-Foren aus. Hier sollen neben E-Mail-Adressen und Nutzerdaten aus dem Forum auch verschlüsselte Passwörter entwendet worden sein. Wer seit Juli 2015 in einem der Foren aktiv war, sollte das Passwort daher auf allen Seiten ändern, wo er es ebenfalls verwendet.

Nicht von der Attacke betroffen sind nach aktuellem Wissensstand die Foren für Paragon, Fortnite, Shadow Complex und SpyJinx.

Über 800.000 Accounts betroffen

Alles in allem sind laut ZDNet mehr als 808.000 Accounts von dem Hack betroffen, davon mehr als eine halbe Million aus dem Unreal-Engine-Forum, aus dem keine Passwörter entwendet wurden. Auch sollen die Passwörter aus den betroffenen Foren zumindest so gut verschlüsselt sein, dass sie sich nicht ohne Aufwand entschlüsseln lassen. Geändert werden sollten sie gegebenenfalls dennoch.

vBulletin als Schwachstelle

Für den am 11. August durchgeführten Angriff auf die Foren nutzten die Angreifer eine bekannte Sicherheitslücke in einer älteren Version der Forensoftware vBulletin, die mittels SQL-Injection den Zugriff auf die gesamte Datenbank ermöglicht.

Es ist nicht der erste Angriff auf Epic Games. Bereits vor gut einem Jahr erbeuteten Hacker E-Mail-Adressen, Nutzerdaten und Passwörter. Bereits damals betroffen: die Foren für das Unreal Development Kit, Gears of War, Infinity Blade und ältere Unreal-Tournament-Titel.