Site de pôquer Bitcoin 'Seals With Clubs' é hackeado, 42.000 senhas roubadas

O site de pôquer Bitcoin Seals with Clubs confirmou que seu banco de dados foi comprometido, embora não tenha mencionado que perdeu 42.020 senhas com hash no processo. Os hashes foram postados em um fórum cerca de 24 horas antes e nem preciso dizer que atraíram muitas pessoas empenhadas em quebrá-los.

Por alguma razãoSelos com Paususou funções de hash SHA1, que são obsoletas para todos os efeitos. Mesmo o hash SHA3 mais recente não é adequado para senhas e parece que o site estava contando com salting criptográfico para torná-las mais seguras, garantindo que diferentes hashes seriam usados mesmo se dois usuários escolhessem exatamente a mesma senha.

De qualquer forma, não demorou muito para que as pessoas começassem a descobrir algumas senhas, como “bitcoin1000000”, “sealswithclubs”, “88seals88” e “pokerseals”. As senhas reveladas rapidamente levaram os especialistas em segurança a juntar os pontos e concluir que as senhas vieram de usuários do Seals with Clubs.

Na quarta-feira, um usuário postou o banco de dados de hashes em um fórum de recuperação de senhas operado pelo serviço comercial de quebra de senhas InsidePro. O usuário ofereceu US$ 20 em bitcoins para cada conjunto de mil hashes exclusivos. Levou apenas nove minutos para a primeira resposta e o primeiro conjunto de 1.000 hashes. Em um dia, cerca de dois terços da lista foram quebrados, relataArte Técnica.

Na quinta-feira, a Seals with Clubs estava em modo de controle de danos, admitindo oficialmente a violação e anunciando que emitiu umaredefinição de senha obrigatória. Uma postagem em seu site dizia:

O datacenter que empregamos até novembro permitiu acesso não autorizado a um servidor de banco de dados e nosso banco de dados contendo credenciais de usuário provavelmente foi comprometido. As senhas foram saltadas e hash por usuário, mas para estar seguro, cada usuário DEVE alterar sua senha quando fizer o próximo login.

Faça isso o mais rápido possível. Se sua senha do Seals foi usada para qualquer outra finalidade, você deve redefinir essas senhas também como precaução.

O site destacou que implementaria medidas de segurança adicionais, incluindo autenticação de dois fatores e login a partir de um número limitado de endereços IP.

Isso, no entanto, não resolverá outro problema. Como o Seals with Clubs é um serviço somente de bitcoin, cada titular de conta é um usuário de Bitcoin e há uma boa chance de que pelo menos alguns deles tenham reutilizado a mesma senha em outros sites de Bitcoin . Em outras palavras, alguns usuários podem estar usando exatamente a mesma senha em suas contas de câmbio ou carteiras online.

Quanto ao Seals with Clubs, é um site relativamente pequeno comparado aos principais sites de Texas Hold’em por aí. A pequena equipe de jogadores de pôquer por trás do site escolheu permanecer anônima e o site foi aparentemente lançado depois que eles foram demitidos. Esperamos que jogar pôquer durante o horário de expediente não tenha nada a ver com isso.