image

Команда CD Projekt RED 4 февраля 2017 г. в 1:39(GMT +3) разослала своим пользователям email с предупреждением о том, что их сервера были скомпрометированы. Под атакой оказались сервера форума cdprojektred.com. До активного продвижения в Steam, во время выхода первой части серии игр про Ведьмака, многие регистрировались на сервере разработчика. В настоящий момент форум был практически заброшен, однако содержал в своей базе логины, адреса электронной почты и пароли пользователей.

Факт утечки базы данных был обнаружен только сейчас, однако сам инцидент произошел в марте 2016 года. Большинство пользователей было переведено на сторонние аккаунты GOG.com еще год назад, что сделало аутентификацию двухэтапной. Однако часть пользователей не обновила свои данные. Хорошая новость — пароли были хешироваными и «солеными», что делает невозможным словарную атаку на пароли и сильно затрудняет автоматический перебор базы.

В целом, очень радует подобное отношение к своим пользователям. Команда не стала скрывать инцидент, несмотря на низкую вероятность компрометации пользовательских паролей и значительное время прошедшее после утечки. На всякий случай поменяйте пароли и уточните свои настройки безопасности в других аккаунтах, если регистрировались на них с теми же данными.

Текст оригинального письма:
Dear Forum Users,

Recently it has come to our attention that an obsolete cdprojektred.com forum database was accessed by an unauthorized party sometime in March 2016.

At the time of the event, the database was not in active use, as almost a year earlier forum members had been asked to create secure GOG.com accounts for login purposes. These accounts are additionally protected by two-step authentication. The forum engine has also been upgraded since then to the newest and most secure version, fixing the vulnerability that allowed said access.

It is our understanding that the obsolete forum database contained usernames, email addresses and passwords that were hashed and “salted.” Salting is a common practice that involves adding random characters to the password when hashing to increase security. It is this, a “salted hash” of a password, that was stored in the database and that was accessed. Your passwords were not stored in plain text, hence they were not directly accessible by anyone.

Since you did not connect your account with the GOG.com-powered login system, your account was not migrated to the new forum and no action is required on your end. However, if you used your old forum password for any other services, it is still advisable to change it. We also suggest you never use the same password across multiple services.

From the time of the event, we’ve conducted additional external security tests, and we will double our efforts to ensure such situations don’t occur in the future.

We would like to deeply apologize to everyone affected.

CD PROJEKT RED Forum Staff
Поделиться с друзьями
-->

Комментарии (41)


  1. shifttstas
    04.02.2017 11:34
    +12

    Ещё один плюсика карму этой компании:
    — пароли хешированные с солью
    — сразу честно признались

    А то всякие крупные компании (Мэйлру вроде бы) по началу хранили учетные данные пользователей в незашифрованном виде, и потом по году молчали после утечки, пока аккаунты пользователей в других местах уводили…


    1. Meklon
      04.02.2017 11:40
      +12

      Они реально молодцы. И репутационных потерь не испугались, хотя замолчать было элементарно.


      1. AmberSP
        04.02.2017 12:52
        +6

        Мне кажется это управление рисками. Репутационные потери от такого признания («утекли солёные хэши») гораздо ниже, чем от события «выяснилось, что замалчивали утечку аккаунтов».
        А кроме потерь («так себе ИБ у игроделов») есть и профит («честные ребята»). Оно может по итогу изменение репутации даже в плюс выйдет.
        Если совсем упороться по теориям заговора — окажется, что эту историю их пиарщики и выдумали :)


      1. FeNUMe
        04.02.2017 15:57

        Замолчать бы не вышло, этот слив уже давно был в базе leakedsource.com(когда он еще работал). Даже странно что так долго тянули с уведомлением.


    1. profesor08
      05.02.2017 17:33

      Программа облако (диск) майл.ру хранила пароль прям в реестре в открытом виде. Можно было спокойно получить данные для авторизации к любому email адресу с которого логинились в программе.


  1. crazylh
    04.02.2017 11:44
    -3

    Утечка год назад, но стало известно только сейчас — это называется не стала скрывать? Ок.


    1. Meklon
      04.02.2017 11:50
      -1

      Они только сейчас узнали и сразу сообщили. Могли промолчать.


      1. zartarn
        06.02.2017 08:55

        все знают год, а они узнали только сейчас. Оперативненько. смысл от такого признания на самом деле то.


  1. linkfox
    04.02.2017 12:10

    Не уверен что узнали совсем недавно, но опубликовали это явно из-за инцидента с базой данных GitLab.com от 31/01/2017.


    1. Meklon
      04.02.2017 12:10
      +8

      Не уловил связи, если честно.


      1. Jef239
        04.02.2017 23:27
        -2

        Инцидент с GitLab показал, что репутационные потери от ошибки меньше, чем выигрыш от демонстрации честности и открытости. И что в сумме такое поведение увеличивает доверие к компании.

        Ну как бы это не так очевидно было, иначе бы все так себя вели…


        1. mammuthus
          05.02.2017 13:56
          +1

          Очевидно или нет — это совершенно неважно.
          Вы всерьез считаете, что данный кейс не исследовался и все вдруг почему-то поняли это из-за истории с gitlab? (А почему тогда не из-за какого-либо иного из многочисленных сливов ранее?)


          1. Jef239
            05.02.2017 14:06
            -1

            Думаю, что исследования дали обратный результат. Потому что большие компании (которые как раз и используют подобные исследования) придерживаются политики сокрытия инцидентов. Вполне возможно, что на B2B-рынке и стоит скрывать.

            Более того, вижу сильную разницу между «мы лоханулись» и «мы тоже лоханулись». Это чуть разные кейсы. А тут именно второе.

            P.S. Предыдущие открытия информации о взломах по крайней мере мое доверие к взломанным компаниям уменьшили. Как-то лучше хранить информацию там, где не взламывают. Но я, наверное, не типичен.


          1. Timur_n
            05.02.2017 17:54

            видите ли, исследования проводятся, но решение принимается главами компаний коллегиально, как правило это не только люди, имеющие прямое отношение к разработке, разный род деятельности, разный подход, разный менталитет, часто может победить точка зрения, вопреки исследованиям…


  1. Reeze
    04.02.2017 12:52
    +1

    Powered by vBulletin® Version 5.2.5


  1. sidny_vicious
    04.02.2017 14:21
    +4

    Молодцы и не только в этом. Они заботятся о пользователях и их аккаунтах. А кроме этого не стали бороться с пиратством. В одном интервью сказали, что если игра понравилась, то фанат захочет поддержать студию, а если нет, то они не будут возражать, что человек бесплатно поиграет. Студия просто хорошо делала свою работу и игра оккупилась.


    1. Meklon
      04.02.2017 14:32
      +5

      Их реально совесть не позволяет пиратить. DLC восхитительные просто.


      1. LIJaMaH
        05.02.2017 00:25

        Вот да. Поначалу как обычно скачал с торрентов, но очень быстро понял, что просто по-человечески хочу поблагодарить ребят за такую замечательную игрушку, и купил уже официально.


    1. sidny_vicious
      04.02.2017 21:48

      Согласен. Покупал все 3 части игры. Они восхитительны. И каждая игра шаг вперед. Жаль проект вроде как закрыли.


      1. Incher
        06.02.2017 08:50

        Да, жаль, конечно, но третью часть очень сложно будет переплюнуть.


    1. scronheim
      06.02.2017 07:24

      Прекрасный пример того, как нужно делать игры. Сделал хорошую игру, с душой и любовью и люди у тебя её с руками оторвут


  1. Erelecano
    04.02.2017 14:50

    > ольшинство пользователей было переведено на сторонние аккаунты GOG.com еще год назад, что сделало аутентификацию двухэтапной.

    1. gog.com — проект CD Projekt, то есть аккаунты не сторонние
    2. Двухэтапную на gog.com ввели меньше года назад и она не является обязательной(не являлась с месяц назад точно)


  1. acupofspirt
    04.02.2017 20:36
    +1

    Просто CD Projekt RED одна из тех редких компаний, которые ставят честное человеческое отношение к людям выше репутации и «деньги… деньги… деньги».
    В следствие такого отношения, я запиратил третью часть ведьмака и прошёл её всю на старом компе, позже, как обновил железо, купил игру в стиме со всеми DLC.


    1. Erelecano
      04.02.2017 21:44
      +3

      Ну, будем честны, одно, но очень крупное пятно на их репутации есть. Они при преордере обещали Witcher 3 под GNU/Linux, а потом кинули покупателей начав рассказывать сказки, про фрагментированость платформы, что им надо будет что-то делать под 5 дистрибутивов и так далее(что является заведомой чушью, игры в стиме прекрасно работают на всех дистрибутивах спокойно, без учета особенностей дистрибутива, ибо Valve дает все необходимое в стиме).
      А в остальном, да, они ведут себя очень прилично и даже у отъявленных пиратов, из числа моих знакомых, их игры куплены(а я, как дурак, сижу с купленным еще по преордеру Витчером 3 и не могу в него играть, ибо меня они кинули)


      1. Ghool
        04.02.2017 23:57
        -1

        Может 5 дистрибутивов это вин, мак, 2 приставки — и 5й (линукс) не осилили?


        1. Erelecano
          05.02.2017 00:39
          +2

          Нет, в ответе который был, когда народ жаловался, что нас кинули было именно про 5 дистрибутивов GNU/Linux. Ну то есть они просто решили кинуть тех, кто уже заплатил им денег, а отмазки лепили находу.


      1. a1111exe
        05.02.2017 00:56
        +1

        Поддерживаю. Сам преордер не делал, но всё равно был сильно разочарован. С другой стороны — сэкономленное время… :)


        P.S. Возврат денег не требовали?


        1. Erelecano
          05.02.2017 01:39

          Нет, все еще жду, надеюсь и верю, потому не делал :)
          На самом деле у меня еще Витчер 2 не пройден, хоть он и есть под GNU/Linux, так что с третьим это я просто возмущен тем, как нас кинули и это припоминаю при случае. При этом признаю, что помимо вот данного кидалова ребята реально лучшие на рынке по отношению к клиентам, одно то, что они выпускают игры без DRM, да плюс то, как они всем у кого куплено в стиме раздали на гоге бездрмный вариант многих игр стоит много.


          1. Fedcomp
            05.02.2017 19:13

            разница в производительности между linux и windows версией во второй части — довольно заметна.


            1. Erelecano
              05.02.2017 21:02

              В случае с Витчер 2 у меня разницы нет, просто одинаковая производительность. На других играх(например Civ V) производительность под линухой выше.
              Вы может на АМДшной карточке пробовали? Ну так АМД положили на линуховые дрова и пользователей мужской половой орган.


              1. Kobalt_x
                05.02.2017 23:23

                ну хз, у amd теперь вой дрйвер на базе opensource amdgpu. Теперь с amd в отличие от nvidia не нужно гадать заведется ли драйвер с ново версией mesa или новым ядром. Так что по поводу кто положил орган, это еще большой вопрос.


                1. Erelecano
                  05.02.2017 23:27

                  Ага, драйвер из которого выкинули поддержку старых видюх и не добавляют новые.
                  Для игр есть только nvidia, для работы есть intel(ну и в ноутах есть оптимус, с которым тоже можно жить, с него сейчас и пишу)


                1. skobkin
                  08.02.2017 08:58

                  AMD молодцы в том, что сдедали открытый драйвер. Но за то, что дропнули поддержку закрытого до того как открытый стал уметь все то же самое — надо руки отрывать.
                  В результате, я например, в какой-то момент потерял возможность играть на ноутбуке.
                  По этой причине я не возьму больше графику AMD в ближайшие годы несмотря на всю любовь к открытому коду.


      1. adasiko
        05.02.2017 17:54

        > Они при преордере обещали Witcher 3 под GNU/Linux
        К справедливости стоит заметить, что обещания про приход Witcher 3 на SteamOS были только на баннерах стима на главной. Ни в каких ресурсах CD Projekt RED об этом нигде не писалось, в том числе и на gog.com.
        Может было недопонимание между Valve и CD Projekt по принципу глухого телефона.


        1. Erelecano
          05.02.2017 17:57

          Я не думаю, что ошибку допустило Вальве, особенно учитывая, что CD Projekt RED потом давали пояснения: «Да, обещали, но 5 дистрибутивов, а вот когда Вальве даст нам единственный, тогда мы конечно», при том, что единственный есть и это просто сам Steam который носит все нужное с собой. Дело именно в том, что нас кинули, но я еще верю в то, что в них может проснуться честность, именно по той причине, что в остальном они с пользователями честны.


          1. adasiko
            05.02.2017 18:17

            Искаженная цитата. «Да, обещали» — не было такого. Да и цитата вообще другая.
            Подкаст от октября 2013 года, где она и прозвучала http://podcast.galyonkin.com/Galyonkin-S02E52.mp3 на 1:29:00

            First of all, we have a lot of respect for Steam and we think they are very, very good business guys and good gamer friendly guys and that's really, really important. We like what they are doing and with the Steam Box, if they will be able to deliver a cool console, definitely, we are interested in having a game there.

            You know, one of the reasons we have not released The Witcher on Linux is that we most probably have to address five different versions of Linux and this is always terrible to support the quality of the games afterwards. The patches, the updates, and everything. If Steam will deliver a constant Linux environment, call it SteamOS or anything like that, we would love to have our games there because, you know, the more people play our games, the better for us.


            Банер же появился летом 2014 в стиме.


  1. keydon2
    05.02.2017 06:39
    +1

    Да и вообще много чего полезного делают ради freeDRM GOGа и не такое простишь. А утечка с каждым бывает, но не каждый говорит об этом.


  1. lxsmkv
    05.02.2017 11:03
    +1

    Я подумал, что и к таким сообщениям (емейлам) нужно относиться осторожно и сперва убедиться в достоверности информации. Ведь скомпрометированый сервер может только того и ждать, что ты придешь и начнешь менять пароль.


    1. Shaco
      05.02.2017 23:24

      Мне казалось, основная ценность информации вида «ваши пароли утекли» — не в том, чтобы защитить аккаунт в скомпрометированном сервисе, а в том, чтобы заменить тот же пароль на прочих ресурсах. Да, да, нельзя ставить одинаковые пароли, но иногда люди так делают :)


      1. a1111exe
        06.02.2017 02:26

        Иногда?.. Да Вы оптимист.


        1. Lashchevsky
          06.02.2017 17:30

          [зануда_мод]
          Он слово «иногда» написал курсивом, выражая таким образом сарказм
          [/зануда_мод]