In queste ore sono apparse su internet diverse segnalazioni in merito ad un leak di dati del database di Multiplayer.it composto da circa 500.000 record estratti dal sito comprensivi di username, email, password, hash e salt.
Desideriamo fare chiarezza sulla situazione e rassicurare i nostri utenti, ma prima di scendere nei dettagli, vi confermiamo subito alcuni punti chiave.
- Il leak è innocuo, gli utenti non corrono rischi.
- L'avvenimento in questione risale al 2018 ed è già emerso nel 2019.
- I dati degli utenti non corrono alcun rischio reale.
- Non è necessaria alcuna azione riparatrice.
Il reparto tecnico di NetAddiction Srl, l'azienda che detiene il sito, si è subito attivato per verificare eventuali fughe di informazioni o problemi relativi alla sicurezza e all'integrità del database e non ha riscontrato anomalie in corso, manomissioni o ingressi non autorizzati. Per questo motivo si è quindi deciso di indagare con maggiore profondità sul leak analizzando i dati presenti nel furto di informazioni per verificare la provenienza dei dati e confermare se effettivamente si è trattato di un nuovo leak. Un primo esito delle verifiche ha confermato che le informazioni trafugate riguardano circa la metà di tutte le email attualmente presenti nella base utenti del sito (circa 470.000 caselle email valide su un totale di circa 800.000 caselle email ad oggi comprese nel database di Multiplayer.it).
Facendo un controllo incrociato con le date di registrazione delle email sull'attuale database e le email con codice di identificazione più recente nel database leakato, possiamo confermare che il furto di dati è avvenuto nel 2018 ed è stato segnalato nuovamente questi giorni. Questo significa che chiunque si sia registrato al sito a partire dal 2019, non è incluso in questo leak.
Le password sono al sicuro?
È importante notare che si tratta dello stesso avvenimento del 2019, non è cioè un nuovo leak, e anche all'epoca avevamo svolto una serie di analisi approfondite, giungendo alle conclusioni che riportiamo di seguito e che evidenziano come il leak abbia una bassa gravità.
Analizzando email, password e hash abbiamo dedotto che il furto di dati è avvenuto agendo sulla piattaforma vBulletin, un software che l'azienda utilizzava anni fa per gestire il forum ufficiale di Multiplayer.it fino alla fine del 2019 e che successivamente, proprio a causa di una serie di vulnerabilità abbiamo deciso di dismettere a partire dal 2020 rendendolo irraggiungibile. Alcune falle del software avrebbero potuto consentire agli iscritti al forum di vedere e consultare i profili degli utenti mostrando in chiaro lo username e l'email di registrazione degli utenti stessi. Informazioni che potevano quindi essere trafugate tramite semplice navigazione.
Inoltre le password criptate facenti parte del leak non corrispondono a quelle effettivamente presenti nel nostro database. Già diversi anni prima della dismissione di vBulletin, la gestione della procedura di registrazione al forum era stata infatti unificata a quella del sito ed era quindi gestita attraverso un software sviluppato internamente dall'azienda. Per questo motivo le password trafugate non coincidono con quelle utilizzate a suo tempo sul sito perché si tratta di password create in automatico da vBulletin, ma non utilizzate su Multiplayer.it. In altre parole, le password, anche se decriptate utilizzando i codici hash e salt non risultano comunque efficaci e utilizzabili sul sito perché differenti da quelle inserite in concreto dall'utente al momento della registrazione.
Valutazione del rischio e azioni intraprese
Già a suo tempo abbiamo valutato che il leak non fosse "pericoloso" per diverse ragioni.
Il leak contiene principalmente una lista di email che, quando il forum era attivo, erano già visibili in chiaro navigando il forum stesso.
Le password contenute nel leak sono criptate e, molto più importante, non erano utilizzate per il login per via dell'implementazione di un Single Sign-On (SSO) per la gestione degli accessi sul sito principale.
Inoltre, il forum da cui provengono questi dati non è più attivo dal 2020.
Per tutti questi motivi, a suo tempo, non abbiamo ritenuto necessario fare comunicazione al garante della privacy, tantomeno obbligare gli utenti a cambiare le password, poiché quelle contenute nel leak non erano utilizzate per l'accesso al sito. Ci siamo quindi limitati a segnalare sul forum stesso l'accadimento prendendo le dovute precauzioni e successivamente chiudendo e poi mandando offline questa componente di Multiplayer.it.
Nella speranza che la spiegazione tecnica risulti abbastanza chiara, ci preme scusarci per quanto avvenuto e per l'allarme che si è generato in queste ore nonostante il problema risalga a 6 anni fa. Utilizzare password diverse per ogni servizio e modificarle periodicamente è una pratica che ci sentiamo sempre di consigliare, ma allo stesso tempo vogliamo rassicurare i nostri lettori in merito all'utilizzo odierno del sito e di altri servizi che condividono la medesima chiave di sicurezza con il suggerimento di cambiare password se non lo fate da molto tempo, ribadendo però che le password inserite nei dati trafugati, anche se decriptate, non sarebbero comunque funzionanti.
Continueremo a monitorare la situazione e ad adottare le migliori pratiche di sicurezza per proteggere i dati dei nostri utenti. E per qualsiasi altra necessità o richiesta di delucidazioni è sempre attivo il nostro supporto e sarà nostra premura seguire i commenti a questa notizia.
