Брешь в безопасности Nexus — злоумышленниками получен доступ к пользовательским аккаунтам

К комментариям (18)
20.12.2019 — 20:21
Автор: Kheruk

Похоже, что у Nexus Mods проблемы. Ресурс сообщает, что в ноябре произошла утечка данных, во время которой «потенциально злонамеренный сторонний субъект» смог получить доступ к небольшому количеству пользовательских данных, таких как адреса электронной почты, соли и хэши.

«Была предотвращена крупная потеря данных, но кое-что всё таки было украдено. Как только эксплойт был обнаружен, было решено в качестве меры безопасности проинформировать всех вас, поскольку мы не можем исключить возможность дальнейшего доступа к другим данным пользователя, включая адреса электронной почты, хэши паролей и солей пароля»  говорят Nexus Mods.

«Мы сразу же начали работать над исправлением ситуации и, как часть этого исправления, выдвинули график выпуска нашей давно запланированной новой пользовательской службы, чтобы гарантировать, что никакие другие потенциальные эксплойты старой пользовательской службы не смогут быть использованы для получения пользовательских данных. Мы пошли на этот шаг, чтобы гарантировать, что новые пароли будут не только лучше защищены, но и что любые зашифрованные пароли, которые, возможно, были получены из старой пользовательской службы, уже не являются действительными».

Последовать советам Nexus Mods в ваших интересах

Nexus Mods заявили, что у них нет уверенности, что данный эксплойт не использовался ранее. Таким образом, они не могут определить, сколько адресов электронной почты, хэшей и солей пароля стали доступны злоумышленникам. В результате нарушения Nexus Mods просит всех пользователей выйти из системы, а затем снова войти в нее, чтобы перенести свои учетные записи в новую пользовательскую службу, а также изменить пароль на других сайтах, если он совпадал с паролем с Nexus. Было бы также целесообразно включить двухфакторную аутентификацию везде, где это возможно.

На вопрос о том, почему же Nexus Mods потребовался аж месяц, чтобы донести эту информацию до пользователей, внятного ответа дано не было.

C вами был Kheruk, подготовлено по материалам pcgamer специально для TGM — Tesall Game Magazine.

15
20.12.2019 — 23:28

Так вот почему они заставили меня там пароль на сложный поменять)

20.12.2019 — 23:52

В который раз уже нексус роняет базу с паролями?

21.12.2019 — 00:29

Зато они сделали, что для скачки каждого файла надо по 5 секунд ждать и по 2 раза кликать туда сюда, П-прогресс, М-молодцы! А так, откуда только утечек не было, делаешь отдельную почту для всякого трешака, если совсем не лень, ещё и разные пароли и пусть утекает сколько захочет.
...утекай в подворотне нас ждет маньяк... =D

21.12.2019 — 08:18

apocriff, они просто денег хотят. Видать мало их премиум акков покупают. Вот и добавили телодвижений.

21.12.2019 — 09:57

Хорошее место чтобы спросить:
Никто не встречал допустим расширений для браузера, которые позволяют избежать этих ненужных кликов?
Сайт достаточно популярный и потому не удивлюсь появлению хаков.

21.12.2019 — 16:37

UPD: т.к ничего годного в сети не нашел, пришлось самому писать скрипт.
Если кому нужно: greasyfork.org/en/scripts/394039-nexus-no-wait

Устанавливать через Greasemonkey для Firefox, или Tampermonkey для Chrome.

21.12.2019 — 17:15

StrangeT, спасибо. Работает.
p.s. Не всегда срабатывает.
p.p.s. И похоже при закачке через скрипт нексус "не видит" факт скачивания. Лайк не поставить, в истории закачек мода нет.

22.12.2019 — 10:30

T1m0n, Нексус видит факт скачивания, но для активации кнопок подписки и голоса нужно обновить страницу.
При загрузке без скрипта это также происходит только после перенаправлений на странице.

У меня не всегда срабатывает только если быстро кликать по разным загрузкам, сайт банально не успевает на все запросы ответить.

22.12.2019 — 15:02

StrangeT, обновление не помогает. По крайней мере на опере и в Tampermonkey. Может если подождать, нексус сам там у себя статистику обновит, но пока вот так.

25.12.2019 — 11:22

StrangeT, Спасибо. Скрипт работает!
P.S. на Файрфоксе, с Greasemonkey, тоже не фиксирует скачивание.

29.12.2019 — 19:36

Dark Soul, Спасибо за обратную связь.
Действительно, при загрузке Manual не фиксировалось скачивание. Исправлено.

21.12.2019 — 08:03

Да чего уж там говорить, если даже самые крупные предприятия подвергаются подобной атаке. Да и вообще, что тут страшного - ну удалят они твой акк, заведёшь новый и дальше будешь качать\выкладывать моды.

21.12.2019 — 09:15

шо,опять? не ё-мое,сколько можно то...

21.12.2019 — 09:48

Хм... а меня вообще принудительно заставляют сменить пароль, без этого не войти в систему, но самое строёмное - его сбросить не получается, видите ли первоначальный пароль не верный, хотя само-собой верный.
Похоже я тот самый кого взломали (хотя кому я сдался с нулевым вкладом) или я ну очень уж сильно туплю.

P. S. Да туплю, как всегда, еле сбросил пароль.

21.12.2019 — 09:54

Sagor, Это нормально (наверное), у них весьма странная система и возможно багнутая.
Мне тоже удалось "сменить" пароль не с первого раза и путем получения множества ошибок и перенаправлений на разные страницы)

21.12.2019 — 10:27

StrangeT, По мне для сайта с их размахом это крайне плохо, когда всё так криво организовано. Причём утечка данных сама по себе говорит о плохой организации, и если верить слухам, не впервой у них эта утечка.
Кстати, эти утечки наводят на мысль, что они просто приторговывают данными о пользователях.

21.12.2019 — 14:30

Ну... учитывая последние тенденции, теперь всё там станет ещё более глючным и уродливым.
Одно жалко - огромную базу модов, которая канет в никуда вместе с площадкой. Причём и вынуть их от туда теперь никак.
ЗЫ, Sagor, перепробуй десяток последних версий GoogleChrome и на всякий в т. ч. через ал-ля ТОР.
ЗЫЫ, "делаешь отдельную почту для всякого трешака"
Сейчас есть такие блага покорения современного океана маразма как "временная почта". Замечательная штука.

13.01.2020 — 19:51

Ненавижу делать сложные пароли там, где это нафиг не нужно. Что за мода вообще пошла? Сначала Твич начал требовать уберсложный пароль, теперь Nexus.

Авторизуйтесь, чтобы оставить новый комментарий. Или зарегистрируйтесь.