BELANGRIJK BERICHT OVER DE VEILIGHEID VAN JE ACCOUNT. LEES DIT.


Beste leden,

Laat ik maar meteen met de deur in huis vallen. Tot onze grote spijt is de database van RSR uitgelekt. Jullie gebruikersnamen, wachtwoordhashes en e-mailadressen zijn door onbekenden buitgemaakt. Lees deze hele post zodat je precies weet wat er gebeurd is, en wat je moet doen om te zorgen dat je accounts op rsrclan.com en andere sites veilig zijn.



Welke data is uitgelekt?

We weten zeker dat aanvallers de hand hebben weten te leggen op de gebruikersnamen, e-mailadressen en wachtwoordhashes van alle accounts. Vanwege het type aanval dat gebruikt lijkt te zijn, en omdat we nog vrij weinig tijd hebben gehad om het te analyseren, kunnen we niet met zekerheid zeggen dat dat de enige data is die buitgemaakt is. Echter, op basis van wat we momenteel weten hebben we het sterke vermoeden dat dit inderdaad alle data is.



Hoe weten jullie dat de data is uitgelekt?

Een anonieme tipgever, wie ik zeer dankbaar ben, heeft ons van het lek op de hoogte gesteld. De gebruikte kwetsbaarheid is daarop meteen geïdentificeerd en offline gehaald. De identiteit van deze tipgever is ons niet bekend, en wij gaan ook niet proberen deze te achterhalen. We weten dat hij een kopie van de data heeft, maar hij gaat er professioneel mee om en hij is niet de enige. Om hem maken we ons dan ook geen zorgen - het zijn de mensen die je niet op de hoogte stellen van een lek waar je voor moet uitkijken.

We weten zeker dat de kwetsbaarheid bij buitenstaanders bekend is geweest sinds 11 juni, misschien nog daarvoor. Minder dan 36 uur daarna hebben we het lek gedicht. We weten niet hoeveel mensen een kopie hebben van de uitgelekte data, maar we weten zeker dat het niet alleen onze anonieme tipgever is, dus de data is niet veilig meer.



Wat betekent dit voor mij persoonlijk?

RSR gebruikt sterke, cryptografisch veilige en trage wachtwoordhashes. Dit betekent dat de wachtwoorden die niet volledig hersendood zijn teveel tijd kosten voor de aanvallers om te kraken. Hersendode wachtwoorden zijn "veelgebruikte" wachtwoorden, zoals "123456", wachtwoorden die regelrecht uit een woordenboek komen ("trompetter"), wachtwoorden met slechts kleine variaties op woordenboek-woorden ("tr0mp3tt3r123") , en alle wachtwoorden korter dan 8 tekens (ja, 8. Eigenlijk zou je wachtwoord nog langer moeten zijn, maar goed).

Echter, zelfs de hersendode wachtwoorden zijn bij ons relatief moeilijk te kraken, bij een recente test van onze eigen database was de kraaksoftware na een dag nog niet klaar met de lijst van veelgebruikte wachtwoorden en had hij slechts vier wachtwoorden gekraakt ("123456". Ja. Honestly, mensen?) - waar dit bij zwakkere hashes meestal slechts minuten of zelfs seconden duurt. Wat ik hiermee wil zeggen is dat er een grote kans is dat je wachtwoord de komende dagen, weken, maanden en zelfs jaren niet gekraakt zal worden uit onze hash.

Desalniettemin moet je zo snel mogelijk dit wachtwoord veranderen  (via [www.rsrclan.com/passwd.php] ), want de kans blijft bestaan dat een aanvaller het wel kraakt. Tevens moet je op alle andere sites waar je dit wachtwoord gebruikt (wat je niet zou moeten doen, maar ik ken jullie...) ook je wachtwoord wijzigen.


Waar ik me meer zorgen over maak is het uitlekken van de e-mailadressen. Zeker met het nieuwe recovery-systeem van Jagex is de beveiliging van je e-mailaccount van groot belang. Als een hacker je emailaccount (die je gebruikt hebt om je RS-account op te registreren) weet te bemachtigen, is hij namelijk direct binnen op je RS-account.

Verander daarom, als je zo stom was hetzelfde wachtwoord voor je e-mailaccount te gebruiken als voor RSR, nu meteen het wachtwoord van die account. En zorg ervoor dat je niet hetzelfde wachtwoord gebruikt als op Runescape.

Controleer ook meteen of de overige beveiliging van je emailaccount in orde is. Heb je bijvoorbeeld een zogenaamd "geheime vraag" die te raden is of vindbaar op Facebook (de meisjesnaam van je moeder is niet bepaald geheim), of biedt je account de mogelijkheid om het wachtwoord te resetten met een ander e-mailadres waar je al jaren niet op geweest bent of dat dezelfde zwakheden heeft? Het valt ook te overwegen om je RS-account te registreren op een emailaccount dat je nergens anders voor gebruikt, zo wordt je mail in wezen een tweede wachtwoord.


Wees daarnaast op de hoede voor phishing-mails, waarin men je bijvoorbeeld vraagt om je RS(R)-wachtwoord (wij, noch Jagex, zullen NOOIT via e-mail om je wachtwoord vragen) of om creditcard-details. Wees ook voorzichtig met e-mails met links naar websites waar je vervolgens moet inloggen - de kans is groot dat die websites er wel legitiem uitzien, maar dat niet zijn. Als je vermoedt dat er iets niet helemaal in de haak is, dan is dat waarschijnlijk ook niet zo.

[MacEdit] Een voorbeeld van zo'n Phishing-mail staat onderaan. [/MacEdit]
 

Ja, maar, als ik mijn wachtwoord verander, lekt dat dan niet meteen weer uit?

Kom zeg, we zijn LinkedIn niet. Binnen enkele minuten nadat het lek gemeld is hebben we de kwetsbaarheid offline gehaald. Tevens is naar een aantal andere mogelijke kwetsbaarheden gekeken en op basis daarvan hebben we besloten een paar onderdelen van de site preventief offline te halen, zodat we rustig de tijd hebben om deze onderdelen te analyseren. Jullie zouden hier geen last van moeten ondervinden. De rest van de website is hoogstwaarschijnlijk niet kwetsbaar voor een dergelijke aanval.



Wat gaan jullie doen om dit in de toekomst te voorkomen?

Sowieso overwegen we momenteel een geforceerde wachtwoordreset voor iedereen. Dit is echter geen triviale ingreep, en gezien de sterkte van onze wachtwoordopslag kunnen we besluiten dit achterwege te laten.

Beveiliging blijft een wapenwedloop. Code zonder bugs bestaat niet, en mensen zijn altijd actief aan het zoeken naar kwetsbaarheden (in het laatste jaar zijn we vrijwel onafgebroken gescand vanuit verschillende landen) en het hoeft maar één keer mis te gaan voordat je data op straat ligt. We hebben een vrij goed track record op dit gebied, in de tien jaar dat we bestaan is het nog nooit zo erg misgegaan als nu. We kunnen dus nooit garanderen dat we 100% veilig zijn, maar we doen ons uiterste best beveiligingslekken te voorkomen. We zullen dus nog beter kijken naar nieuw geschreven code, we zullen oude code doorlichten op beveiligingsproblemen, en we gaan zelf actieve scans uitvoeren tegen de website om onvoorziene problemen te ontdekken. Daarnaast gaan we kijken of we een intrusion detection system, een inbraakdetectiesysteem voor computers, zullen gebruiken op de server om meteen gealarmeerd te worden bij vreemde bevragingen.




We have to get it right all the time - hackers just have to get lucky once. Dit keer hebben ze geluk gehad, en het spijt ons dat dit gebeurd is, maar we hopen dat met behulp van deze informatie jullie de juiste stappen zullen zetten om je accounts veilig te stellen.

Wijzig dus je RSR-wachtwoord, en het wachtwoord van alle accounts waar je hetzelfde wachtwoord gebruikte.


Ik wil jullie alleen nog vragen om de discussie over dit onderwerp op niveau te houden, zodat eventuele belangrijke vragen niet verdrinken in een stortvloed van nutteloos commentaar als "OMG even snel mijn wachtwoord veranderen."


Namens het leaderteam,

MacGyver






P.S: Voor de wat technischer aangelegde mensen volgt nu een uitleg van de gebruikte kwetsbaarheid.

Goed, duidelijk, maar wat is er nou precies gebeurd?

De programmacode van een van onze PHP-pagina's bevatte een zwakheid die het mogelijk maakt om een zogenaamde blinde SQL-injectie uit te voeren. Dit houdt in dat je de server een vraag stelt via de URL, die op twee manieren beantwoord kan worden: de pagina laadt gewoon, of de pagina laadt niet. Je krijgt dus niet de daadwerkelijke data te zien, je kunt alleen zien of je vraag beantwoord wordt met "ja" of met "nee". Dit lijkt op het eerste gezicht niet zo problematisch, maar het heeft dramatische gevolgen.

Zo kan je vraag bijvoorbeeld zijn "Bestaat er een tabel genaamd members?", en als de pagina niet laadt weet je dat die tabel niet bestaat. Vraag je vervolgens "Bestaat er een tabel genaamd lid?" en de pagina laadt wél, dan weet je de naam van de tabel die de wachtwoorden bevat. Vervolgens kun je vragen gaan stellen als "Bestaat er binnen de tabel lid een kolom genaamd wachtwoord?", etc.

Als je eenmaal weet welke kolommen je wil hebben kun je op dezelfde manier vragen gaan stellen over de inhoud van deze kolommen. "Is het eerste karakter van kolom wachtwoord van rij 1 in tabel lid groter dan a?", etc. Het mag duidelijk zijn dat het extreem veel moeite kost om met de hand op zo'n manier een database aan te vallen. Het is echter vrij triviaal om dit te programmeren, en er bestaan dan ook meerdere programma's die dit karwei met plezier voor je opknappen. Zelfs dan duurt het nog uren om de drie uitgelekte kolommen van onze (relatief kleine) ledenlijst volledig te reconstrueren, maar dat is dus slechts een kwestie van een programma lange tijd laten draaien. En aanvallers nemen met plezier die tijd.

[Catedit]

De pages die we preventief neergehaald hadden zijn inmiddels weer up, met fixes. Moet er wel bijzeggen dat we (lees: ik) niet hebben gecontroleerd dat de pagina's nog steeds foutloos werken, dat was namelijk even niet de prioriteit. Mocht je iets tegenkomen waarvan je denkt, hey, dat werkt niet, kom dat dan even melden. IRC is het snelst, anders pm ofzo.
Ik heb al gezien dat de smilies in pm-berichten stuk zijn

[/Catedit]

[MacEdit]

Hier een voorbeeld van een dergelijke phishing-mail:

Greetings!
 
It has come to our attention that you are trying to sell your personal RuneScape account(s).
As you may not be aware of, this conflicts with the EULA and Terms of Agreement.
If this proves to be true, your account can and will be disabled.
It will be ongoing for further investigation by JAGEX's employees.
If you wish to not get your account suspended you should immediately verify your account ownership. 
 You can confirm that you are the original owner of the account to this secure website with:.