ArmorGames: Первая утечка данных в 2019-м

Некоторые компании пытаются скрывать даже гипотетические утечки, а некоторые наоборот прямо рассказывают о возможных угрозах. Например, Armor Games предупреждает пользователей даже о незначительных утечках: в данном случае пострадали могли лишь те, кто для разных сайтов использует один и тот же пароль. Реальных имён, адресов и платёжных данных у сайта попросту нет, а значит, и потерять эти данные они не могут.

Первая утечка данных в 2019-м

Дорогие игроки!

Мы уважаем ваше право на конфиденциальность. И в связи с этим уведомляем вас о том, что из-за нас ваши личные данные могли быть скомпрометированы.

Что случилось?

29 января 2019 г. с нами связались специалисты из Tuik Security Group. Они сообщили, что данные наших пользователей могли быть скомпрометированы. Мы незамедлительно начали собственное расследование, постоянно мониторили наши серверы, базы данных и хостинг-провайдеры. Сегодня мы готовы подтвердить, что угроза была реальной. 1 января 2019 г. наши серверы были атакованы. И похоже, мы не единственные «счастливчики»: по нашим данным атаки подверглось ещё 15 компаний (подробности можно узнать здесь). Мы самая маленькая компания в этом списке: лишь 2% пострадавших пользователей были зарегистрированы на нашем сайте. В настоящий момент у нас нет доказательств того, что данные наших пользователей были использованы в корыстных целях.

О какой информации идёт речь?

  • информация о профиле игрока (эти данные и так находятся в открытом доступе на нашем сайте)
  • данные о входах игрока на сайт (юзернеймы, адреса электронной почты, IP-адреса и хешированные пароли)
  • информация о дате рождения игроков
  • информация о том, как мы защищаем хранящиеся у нас данные (включая способы хеширования паролей)

Мы не храним реальные имена наших пользователе, данные их кредитных карт и адреса их проживания. Следовательно, эти данные никак не могли быть затронуты недавней утечкой.

Судя по отчётам других пострадавших компаний, утечке также подвергалась информация об учётных записях, хешированные пароли и способы их расшифровки. В некоторых случаях были также скомпрометированы реальные имена пользователей, токены авторизации через социальные сети, ответы на секретные вопросы, информация об интересах пользователя, дне его рождения и адресе фактического проживания.

Что дальше?

Мы продолжим расследования. Однако на всякий случай мы сбросим пароли для всех наших пользователей. При первом визите вам предложат установить новый пароль. Сделайте это. Мы также постараемся усовершенствовать механизмы защиты и устранить бреши, выявленные в ходе аудита. Мы уже уведомили правоохранительные органы о случившимся и готовы к любому сотрудничеству с другими пострадавшими компаниями. Мы всегда стремились минимизировать данные, необходимые для нормальной работы сайта, и мы продолжим работать в этом направление и дальше.

Что вы можете сделать?

Мы рекомендуем вам обновить пароль на нашем сайте. Если вы использовали один и тот же пароль на нескольких сайтах (делать так, впрочем, не следует), обновите его и в других сервисах (особенно, если речь идёт об игровых платформах). Постарайтесь придумать уникальный и достаточно сложный пароль для каждой учётной записи. Тут вам могут пригодится менеджеры паролей. Кроме того, мы рекомендовали бы вам проверить, не затронули ли вас утечки от других пострадавших компаний. Мы же готовы в любой момент рассказать вам, какие именно данные о вас хранятся на нашем сайте, и удалить их по первому вашему требованию.

Какие ещё компании затронула утечка?

Судя по последним публикациям, мы являемся одной из 16 компаний, затронутых данной утечкой. Если вы пользовались услугами хотя бы одной из них, вам стоит обратиться за разъяснениями напрямую и следовать инструкциям.

Куда сообщать о мошеннических действиях?

Пока у нас нет доказательств того, что скомпрометированные данные могут быть использованы в мошеннических целях. Такой сценарий кажется нам маловероятным. Однако, если вы столкнулись с подобными проблемами, вас стоит сообщить об этом администрации сервиса.

Если вы столкнулись с вымогательством или попыткой обмана, вы можете сообщить об этом в полицию. Обратите внимание, что в некоторых случаях вам, скорее всего, придётся сперва доказать факт мошеннических действий со стороны злоумышленника.

Дополнительная информация

Если у вас остались какие-то вопросы, свяжитесь с нами по адресу [email protected]. Также дополнительную информацию об инциденте вы можете узнать из публикаций в нашем официальном блоге.

Мы приносим свои искренние извинения за доставленные неудобства. Отныне мы сделаем всё возможное, чтобы защитить данные, которые вы нам доверили. Мы и дальше будем сообщать вам о любых происшествиях, связанных с безопасностью и конфиденциальность, и сделаем всё, чтобы остаться лучшей бесплатной площадкой для онлайн-игр.

Команда Armor Games,

6 марта 2019 г.

Comment