Sicherheitslücke im Forum: Daten von 1,9 Millionen Dota-2-Spielern kopiert

Bei einem Einbruch in das offizielle Forum des Spiels Dota 2 haben unbekannte Angreifer 1,9 Millionen Datensätze kopiert, wie die Betreiber selbst bekannt geben. Betroffen sind alle Foren unter der Domain dev.dota2.com. Die Betreiber des Forums zwingen alle Nutzer zum Passwortwechsel.

Der Zugriff der Angreifer erfolgte direkt auf die Datenbank und wurde nach Angaben der Forenbetreiber durch einen mittlerweile gepatchten Fehler in der Datenbanksoftware ermöglicht. Die Passwörter wurden mit MD5 gehasht abgelegt, nach Angaben der Forenbetreiber sind die Hashes gesalzen.

Die Angreifer konnten nach Angaben der Betreiber nicht "auf Informationen zum Steam-Account, Zahlungsinformationen oder andere private Informationen im Zusammenhang mit dem Steam-Account" zugreifen.

Neues Passwort ist Pflicht

Wer sich im Forum einloggen will, muss zwingend ein neues Passwort wählen. Wer das Passwort bei anderen Diensten ebenfalls verwendet, sollte es auch dort ändern. Unklar bleibt, ob die Administratoren der Seite die Passwörter nach dem Hack mit einem besseren Verfahren als MD5 absichern, oder nicht.

Auf Leakedsource.com schreiben die Betreiber, dass sie bereits 80 Prozent der Passwörter wiederherstellen konnten. Die 1.923.972 Datensätze enthielten neben der E-Mail-Adresse ein Passwort, einen Nutzernamen, eine eindeutige Nutzer-ID, das Passwort und vorherige Posts. Mehr als die Hälfte der Accounts wurden offenbar mit einer Gmail-Adresse registriert.

Dota 2 wird nicht nur von Hobbyspielern, sondern auch professionell gespielt. Bei E-Sport-Veranstaltungen werden Preisgelder in Höhe von mehreren Millionen Euro ausgeschüttet, der Wettbewerb ist hart.