Команда CD Projekt RED 4 февраля 2017 г. в 1:39(GMT +3) разослала своим пользователям email с предупреждением о том, что их сервера были скомпрометированы. Под атакой оказались сервера форума cdprojektred.com. До активного продвижения в Steam, во время выхода первой части серии игр про Ведьмака, многие регистрировались на сервере разработчика. В настоящий момент форум был практически заброшен, однако содержал в своей базе логины, адреса электронной почты и пароли пользователей.
Факт утечки базы данных был обнаружен только сейчас, однако сам инцидент произошел в марте 2016 года. Большинство пользователей было переведено на сторонние аккаунты GOG.com еще год назад, что сделало аутентификацию двухэтапной. Однако часть пользователей не обновила свои данные. Хорошая новость — пароли были хешироваными и «солеными», что делает невозможным словарную атаку на пароли и сильно затрудняет автоматический перебор базы.
В целом, очень радует подобное отношение к своим пользователям. Команда не стала скрывать инцидент, несмотря на низкую вероятность компрометации пользовательских паролей и значительное время прошедшее после утечки. На всякий случай поменяйте пароли и уточните свои настройки безопасности в других аккаунтах, если регистрировались на них с теми же данными.
Текст оригинального письма:
Dear Forum Users,
Recently it has come to our attention that an obsolete cdprojektred.com forum database was accessed by an unauthorized party sometime in March 2016.
At the time of the event, the database was not in active use, as almost a year earlier forum members had been asked to create secure GOG.com accounts for login purposes. These accounts are additionally protected by two-step authentication. The forum engine has also been upgraded since then to the newest and most secure version, fixing the vulnerability that allowed said access.
It is our understanding that the obsolete forum database contained usernames, email addresses and passwords that were hashed and “salted.” Salting is a common practice that involves adding random characters to the password when hashing to increase security. It is this, a “salted hash” of a password, that was stored in the database and that was accessed. Your passwords were not stored in plain text, hence they were not directly accessible by anyone.
Since you did not connect your account with the GOG.com-powered login system, your account was not migrated to the new forum and no action is required on your end. However, if you used your old forum password for any other services, it is still advisable to change it. We also suggest you never use the same password across multiple services.
From the time of the event, we’ve conducted additional external security tests, and we will double our efforts to ensure such situations don’t occur in the future.
We would like to deeply apologize to everyone affected.