Sono stati violati 1,4 milioni di account del servizio di wallet per criptovalute GateHub e 800 mila account di EpicBot, un bot per il famoso MMO RuneScape. Lo segnala l'esperto di sicurezza Troy Hunt, conosciuto sulla rete per aver creato Have I Been Pwned?, un sito Web di ricerca sulla violazione dei dati che consente agli utenti non tecnici di vedere se le loro informazioni personali sono state compromesse.

I database erano crittografati con Bcrypt, una funzione tra le più difficili da violare. Nel caso del sito di servizi per criptovalute, secondo Hunt sarebbero stati violati anche gli hash dei wallet, anche se GateHub esclude compromissioni alla sicurezza degli hash. Hunt ha dichiarato di aver selezionato un campione rappresentativo di account da entrambi i database per verificare l'autenticità dei dati. Tutti gli indirizzi email in cui si è imbattuto appartenevano a effettivi membri dei due siti.

RuneScape

Già nello scorso mese di agosto GateHub aveva ammesso di aver subito un furto di credenziali per circa 18 mila account registrati al suo servizio, "una frazione molto piccola della nostra base di utenti". Quanto sta riportando adesso Hunt, però, lascia intendere che la compromissione della sicurezza al sito di criptovalute è stata più grande rispetto a quanto si pensasse in un primo momento. Sono stati violati non solo i token di accesso, ma anche le chiavi per l'autenticazione a due fattori, gli indirizzi e-mail, le password, le informazioni per il recupero delle credenziali e, probabilmente, gli hash dei wallet.

Nello stesso giorno in cui il database di GateHub è diventato pubblico su RaidForums, lo stesso è successo con i dati di EpicBot. Entrambi i servizi usano Bcrypt, una funzione di hashing di password. Viene considerata come una funzione avanzata adattiva resistente ad attacchi di forza bruta anche con capacità computazionale crescente. Il livello di sicurezza dipende, però, dal tipo di implementazione che viene fatta di Bcrypt: veniva usata, infatti, anche da Ashley Madison nel momento del famoso attacco del 2015.

Gli utenti di EpicBot dovrebbero cambiare il prima possibile la loro password, mentre quelli di GateHub sono stati obbligati a farlo già a luglio. In entrambi i casi le frasi di backup andrebbero sostituite.