Hacker stiehlt 1,6 Millionen Konten des Spiels Clash of Kings

Ein Hacker hat das Forum des Handyspiels Clash of Kings angegriffen und Details zu fast 1,6 Millionen Nutzerkonten erbeutet. Eine Kopie der Datenbank liegt LeakedSource vor. Sie enthält Nutzernamen, E-Mail-Adressen, IP-Adressen sowie per Hash und Salt geschützte Passwörter. Von Nutzern, die sich per Facebook für das Spiel angemeldet haben, sind auch Facebook-Daten und Access Tokens verfügbar.

Clash of Kings ist aktuell mit mehr als 100 Millionen Downloads allein für Android eines der beliebtesten Spiele für mobile Geräte. Ein Sprecher des in China ansässigen Entwicklers Elex stand für eine Stellungnahme nicht zur Verfügung. Das Forum des Spiels ist derzeit wegen „Wartungsarbeiten“ geschlossen.

Der Hacker, der seinen Namen nicht nennen wollte, nutzte offenbar am 14. Juli eine Schwachstelle in der Forensoftware vBulletin aus. Sie ist seit Ende 2013 bekannt. Die fragliche Softwareversion enthält zahlreiche Sicherheitslücken, die sich mit im Internet erhältlichen Tools ausnutzen lassen. Elex soll die Sicherheit seiner Nutzer aber nicht nur durch den Einsatz einer unsicheren Forensoftware gefährdet haben. Das Unternehmen verzichte auch auf grundlegende Sicherheitsvorkehrungen wie eine Verschlüsselung des Datenverkehrs per HTTPS.

Ein Vertreter von LeakedSource erklärte gegenüber ZDNet.com, der Hacker habe gezielt nach Foren mit ungepatchter Software gesucht. Dabei sei eine als „Google Dorking“ bekannte Technik zum Einsatz gekommen, um mithilfe von Suchmaschinen Websites zu finden, die möglicherweise anfällige Software oder Konfigurationen einsetzen. Das Clash-of-Kings-Forum sei eine der größten Websites gewesen, die die Suche zutage gefördert habe. „Jetzt gelten wahrscheinlich alle vBulletin-4-Foren mit mehr als 100.000 Nutzern als gehackt“, ergänzte der LeakedSource-Sprecher.

Clash of Kings ist kostenlos im Google Play Store und im Apple App Store erhältlich. Hierzulande wirbt der Herausgeber Elex Wireless seit Mai mit einem TV-Spot mit Fußballnationalspieler Bastian Schweinsteiger für das Spiel.

LeakedSource kauft gestohlene Nutzerdaten. Seine Mitglieder können gegen eine Gebühr die Datenbank des Unternehmens durchsuchen, um festzustellen, ob sie von einem Hackerangriff betroffen sind. Inzwischen bietet es außerdem eine Programmierschnittstelle an, die es Firmen erlaubt, die von LeakedSource vorgehaltenen Datenbanken nach ihren eigenen Nutzern zu durchsuchen.

[mit Material von Zack Whittaker, ZDNet.com]

Tipp: Kennen Sie die berühmtesten Hacker? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.