独立游戏《塞勒姆小镇》官方近日确认游戏出现了安全漏洞,760万用户的信息有被泄露的风险,一起来看看该事件详情吧。
BlankMediaGames(BMG)公司已正式确认,该公司旗下热门游戏《塞勒姆小镇》出现安全漏洞,漏洞现已经被解决,但游戏有760万用户的信息有被泄露的风险。
漏洞首先被网络安全公司DeHashed揭露。公司收到了匿名人士举报后,随即对《塞勒姆小镇》的漏洞进行了调查证实。根据DeHashed的张贴的博客,公司在去年12月底收到了匿名举报,并在查实后第一时间接触了BMG修复此问题。
DeHashed昨日在游戏官方论坛上表示,已经移除了3个潜在安全漏洞。运营方BMG已告知用户尽快重设账号密码,并向用户群发邮件说明了整个事件。BMG还补充:尽管之前有安全漏洞,但用户的信用卡和付款信息并未存储在游戏服务器中,没有风险。但用户的密码、IP地址和电子邮件信息有泄露风险。
泄密原因是:使用MD5哈希算法存储的帐户密码
市面上很多HTTP请求用的都是MD5加密,但MD5哈希算法早已被广泛认为是非常不安全的,从技术的角度讲,MD5真的很安全,因为无法解密,破解MD5的方式只有一个:撞库。然而,就在大数据的今天。随意的生成了几个常用的密码的MD5密文,百度的工具可以轻易破解出来。
不久的将来,随着各种加密原文的收集,MD5算法已不再安全,就像一个post请求一样,只是你认为他不是明文。他只是阻隔了一部分什么都不知道的人群,对于黑客(甚至入门级别的黑客)来说,只要抓到了你的请求,数据暴露无疑。
目前来说,安全性最高的加密算法就是SSL证书采用的SHA258算法,而MD5早在2004年被中国女博士王小云破解,在安全要求高的场合均不会不使用MD5。SHA256目前没有人能破解,所以SHA-256算法比MD5和SHA-1等更具安全性。
建议网游企业尽快为网站与APP部署安全证书
1、建议网游企业为网站部署SSL证书。SSL证书最主要的功能就是保护用户信息安全!而且防止用户误进钓鱼假冒网站,还能让用户有信心访问网站。相对于HTTP协议的明文传输,HTTPS能最大程度上防止黑客的入侵,建议企业网站使用更高级的OVSSL证书或者更高级的EV SSL证书还可以在网址栏显示企业信息,让用户更信任的同时还可以提升企业品牌形象增加企业的营业额。
2、建议网游企业为APP部署代码签名证书。代码签名证书能使软件开发商对其软件代码进行数字签名,能确保用户通过互联网下载软件时,确信此代码没有被非法篡改和来源可信,从而保护了代码的完整性、保护了用户不会被病毒、恶意代码和间谍软件所侵害。
部署SSL证书一定要选择一个具有公信力的CA机构,最好就是像数安时代GDCA一样经过WEBTRUST国际认证的。数安时代SSL证书采用自适应128-256位加密,SHA256签名算法,以最安全的解决方案、专业的技术支持团队用户提供最权威的认证服务和最安全的认证保障。可以为用户提供7*24一对一服务与技术支持。如有需要可到官网咨询客服。
